Bankernes emailsikkerhed

Creditcard Phishing
At bankerne i Danmark har en udfordring mht. Phishing er almindelig kendt, personligt modtager jeg regelmæssigt Phishing emails der skal forestille at komme fra min egen bank, men også fra banker hvor jeg slet ikke er kunde.
Problemet er så udbredt at nogle af bankerne har dele af deres hjemmeside dedikeret til at advare/hjælpe kunderne i forbindelse med Phishing.
Det er selvfølgelig èn måde at gribe problemet an på, lad den ubehagelig skade ske, og gå så ellers igang med at rydde op efter bedste evne.

Men lad os nu være ærlige, det er altså en lidt kluntet, for ikke at sige direkte dum måde at klare udfordringen på, faktisk er det stort set ligeså dumt, som at undgå graviditet ved hjælp af aborter og fortrydelsespiller frem for prævention 🙂

Nu sidder du måske og tænker: Jamen kan det nu passe, bankerne gør vel hvad de kan for at forhindre Phishing imod deres kunder ?
Lad mig slå fast med 7-tommer søm, bankerne i Danmark gør intet effektivt for at forhindre/forebygge Phishing imod deres kunder. Når det drejer sig om emailsikkerhed er de fleste danske banker teknisk set ca. 8-10 år bagud.

Løsning:
Bankerne skal implementere SPF og DKIM, derved får de mulighed for også at implementere DMARC. DMARC er nøglen til effektiv bekæmpelse af Phishing. Det er ikke en 100% sikker løsning, kundernes generelle IT kundskaber er stadig en faktor, men det er uendelig meget bedre end ingenting at gøre.

I tabellen herunder kan du måske finde din egen bank, og se hvor meget lidt de gør for at beskytte dig imod Phishing.

 

BankSPFDKIMDMARC
Alm Brand bankNej?Nej
AndelskassenNej?Nej
Arbejdernes LandsbankJaNejNej
Balling SparekassenNej?Nej
BanknordikNej?Nej
BasisbankNej [1]?Nej
BRF Kredit og bankJa [2]?Nej
Broager sparekasseNej?Nej
CarnegieJa?Nej
Danske BankJaJaJa [3]
Diba bankNej?Nej
Djurslands bankJa?Nej
Dragsholm sparekasseNej?Nej
Dronninglund sparekasseNej?Nej
Sparekassen FaaborgNej?Nej
FIH ErhvervsbankNej?Nej
FinansbankenNej?Nej
Frøs Herreds sparekasseNej?Nej
HandelsbankenJa?Nej
Jyske BankJa?Ja [3]
Lån & Spar bankNej?Nej
NordeaJa [2]?Nej
NykreditNej [1]NejJa 5
PaiiJaNejNej
Salling BankJa?Nej
Saxo PrivatbankNej?Nej
SydbankJaNejNej
Vestjysk BankNej?Nej
NetsNej [1]NejNej
BeeptifyJaJa[4]Nej
SwippJaNejNej

? Jeg har ikke kunnet teste om banken understøtter DKIM idet det kræver banken sender en email til mig.
[1] SPF record er teknisk defekt.
[2] Anvender SPF features som ikke alle mailudbydere understøtter.
[3] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.
[4] Anvender forkert DKIM signatur på vigtige emails (Password recovery osv.).
[5] Anvender reject policy på subdomæner, men ellers kun monitor policy se [3]

Danske Bank fortæller om Phishing
Nykredit fortæller om Phishing
Nordea fortæller om Phishing
Jyske Bank fortæller om Phishing

2 kommentarer til “Bankernes emailsikkerhed

  1. Du kan desværre også tilføje et “Nej” ud for Sydbank i DKIM-søjlen.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *