Efter et par ugers intensiv misbrug af Nykredits gode navn og rygte, vågnede man endelig op hos Nykredit og tog et kig på DMARC. De emails der blev udsendt i Nykredits navn var alle subdomænebaserede: service@center.nykredit.dk, service@bussiness.nykredit.dk osv. Den slags kan meget nemt stoppes med en DMARC reject subdomæne policy. Ved samme lejlighed (samme IT leverandør) fik jyskebank endelig fixet deres DMARC record så den blev valid, den har været defekt længe.

I dag blev det lidt mere sikkert at være Dansker. Ejerne af nemid.dk domænet satte på opfordring en DMARC reject policy på domænet sammen med en SPF record som ikke tillader mailudsendelser. IT kriminelle kan nu ikke længere frit afsende falske @nemid.dk emails. Så mangler vi egentlig bare at NemID/Nets Danmark får fingrene ud og gør noget ved selve nemid.nu domænet, men det har nok lange udsigter. Kigger man på den eksisterende konfiguration af nemid.

Så har de IT-kriminelle kastet sig over SMS udsendelser istedet for email i forbindelse med NemID phishing. På en eller anden underlig måde har jeg næsten lidt ondt af banditterne, det er sgu’ ikke nemt at lave troværdig NemID svindel via email, næsten ligegyldigt hvor kluntet de bærer sig ad ender det med at komme til at se langt mere ægte ud end NemID’s egen email kommunikation. Det skal nok lige illustreres med et eksempel…

Jeg har lige fået mig en IBM Verse email konto, efter at have været på venteliste i en evighed. Det er en vældig flot løsning hvor mail, kalender, kontakter og filer er tæt integrerede. Desværre er det også en hamrende usikker løsning hvor der tilsyneladende slet ikke er tænkt email authentication ind, IBM Verse accepterer som man kan se herunder uden videre spoofede Paypal emails, på trods af paypal.com DMARC reject policy’en.

Så fik jeg endelig taget mig sammen til at enable TLS på min blog. Da jeg alligevel var igang med at rode, skiftede jeg også til en DigitalOcean droplet med IPv6 enabled.

Et enkelt hik kan vel nærmest være sjovt. 5 minutters hikke er ekstremt irriterende. Jeg har lige overstået 11 dages mere eller mindre konstant hikke, det var dælme godt nok belastende, jeg fik kun sovet et par timer hver nat, havde svært ved at holde mig vågen på arbejde (det sørgede hikken dog for jeg så alligevel kunne) og ikke mindst havde jeg svært ved at spise, tabte mig næsten 3 kg på de 11 dage.

Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere. Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem. Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle. Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne. Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Der er efterhånden skrevet en del om NemID phishing, så nu må det være på tide jeg også kommer med et bidrag. NemID phishing er på grund af sløseri eller manglende kompetencer hos NemID, Digitaliseringsstyrelsen og Nets et evigt tilbagevendende problem. Jeg har selv gennem tiden modtaget en del NemID phishing emails, nogle af dem kunne man kalde gode forsøg, andre har været latterligt elendigt lavet. For et par dage siden modtog jeg i forbindelse med bestilling af en ny nøgleviser en ægte email fra NemID, når man ser sådan en ved man ikke helt om man skal grine eller græde.

Trustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed. For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender. Så langt, så godt .. Men.. Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.