Phishing har altid været et problem for NETS, og problemet er bestemt ikke blevet mindre med tiden.
Jeg blev derfor helt glad på NETS vegne i starten af 2012 da DMARC blev en realitet.
Hold da fast tænkte jeg, det må være præcis hvad NETS og andre firmaer har gået og håbet på skulle ske, de er garanteret allerede igang med at implementere det.
Der skete imidlertid ikke noget, NETS oprettede ikke nogen DMARC record i DNS, ja selv deres kluntede og defekte SPF konfiguration var som den altid havde været.
Jeg fik en email fra SKAT idag, det kan jo ske, specielt på denne tid af året, det usædvanlige var der var tale om en ægte SKAT email, det ser man jo ikke så tit 🙂
Emailen i sig selv var aldeles ligegyldig og blot et udtryk for hvor langsomt SKAT IT systemerne arbejder.
Her stopper historien naturligvis ikke.
Når jeg nu sidder med en email fra det firma som nok har Danmarksrekorden i phishing, skal der naturligvis lige tages et kig på sikkerheden i det fremsendte.
Midt i Juni var Nykredit udsat for et større phishing angreb som strakte sig over flere uger. De kriminelle anvendte dengang forskellige nykredit.dk subdomæner til udsendelserne.
Der blev først sat en stopper for banditterne, da Nykredit valgte at lytte til gode råd og fik etableret en DMARC subdomæne reject policy.
Nu er banditterne tilbage fra sommerferie, og har denne gang kastet sig over Danske Bank. Jeg modtog idag denne email, som bortset fra logo og afsender adresse er en næsten tro kopi af de Nykredit emails der blev udsendt.
Efter et par ugers intensiv misbrug af Nykredits gode navn og rygte, vågnede man endelig op hos Nykredit og tog et kig på DMARC.
De emails der blev udsendt i Nykredits navn var alle subdomænebaserede: service@center.nykredit.dk, service@bussiness.nykredit.dk osv.
Den slags kan meget nemt stoppes med en DMARC reject subdomæne policy.
Ved samme lejlighed (samme IT leverandør) fik jyskebank endelig fixet deres DMARC record så den blev valid, den har været defekt længe.
I dag blev det lidt mere sikkert at være Dansker. Ejerne af nemid.dk domænet satte på opfordring en DMARC reject policy på domænet sammen med en SPF record som ikke tillader mailudsendelser.
IT kriminelle kan nu ikke længere frit afsende falske @nemid.dk emails.
Så mangler vi egentlig bare at NemID/Nets Danmark får fingrene ud og gør noget ved selve nemid.nu domænet, men det har nok lange udsigter.
Kigger man på den eksisterende konfiguration af nemid.
Så har de IT-kriminelle kastet sig over SMS udsendelser istedet for email i forbindelse med NemID phishing.
På en eller anden underlig måde har jeg næsten lidt ondt af banditterne, det er sgu’ ikke nemt at lave troværdig NemID svindel via email, næsten ligegyldigt hvor kluntet de bærer sig ad ender det med at komme til at se langt mere ægte ud end NemID’s egen email kommunikation.
Det skal nok lige illustreres med et eksempel…
Så fik jeg endelig taget mig sammen til at enable TLS på min blog.
Da jeg alligevel var igang med at rode, skiftede jeg også til en DigitalOcean droplet med IPv6 enabled.
I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.
Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.
Der er efterhånden skrevet en del om NemID phishing, så nu må det være på tide jeg også kommer med et bidrag.
NemID phishing er på grund af sløseri eller manglende kompetencer hos NemID, Digitaliseringsstyrelsen og Nets et evigt tilbagevendende problem.
Jeg har selv gennem tiden modtaget en del NemID phishing emails, nogle af dem kunne man kalde gode forsøg, andre har været latterligt elendigt lavet.
For et par dage siden modtog jeg i forbindelse med bestilling af en ny nøgleviser en ægte email fra NemID, når man ser sådan en ved man ikke helt om man skal grine eller græde.
Trustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed.
For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender.
Så langt, så godt .. Men..
Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.