Phishing

Sikkerhed, Teknik

Phishing er noget man hører om med jævne mellemrum, og her på det sidste er det blevet oftere og oftere. Jeg tænker specielt på phishing hvor det går ud over banker og deres kunder. De fleste har vist efterhånden indset det er et problem, der er bare ikke rigtig nogen der gør noget virkelig effektivt for at løse det.

  • De fleste banker begrænser sig til at oplyse om at der er et problem og at man skal passe på.
  • Finansrådet har indgået en antiphishing-aftale med et sikkerhedsfirma, så nu kan de da sige de har gjort et eller andet, effektiviteten af tiltaget vil jeg gerne have lov at stille spørgsmålstegn ved, hvis et tiltag som det de skitserer i deres pressemeddelelse skal virke, skal man være endnu hurtigere end de kriminelle er, så den maksimale effekt må være noget i stil med at begrænse skadens omfang.
  • Sikkerhedskyndige udtaler sig om hvordan man lærer at identificere en phishing-email og dermed undgår at blive lokket i en fælde, ikke nogen nem opgave, og iøvrigt kræver det også at man til stadighed opdaterer sin viden på området.

Der findes et alternativ som er simplere, billigere og langt mere effektivt. Gør som resten af verden gør, har du en email du gerne vil gøre det muligt for modtageren at bekræfte ægtheden af, så forsyn den med en digital signatur der bekræfter din identitet.
Hvis bankerne begyndte at signe deres email kommunikation så slipper vi brugere for at lære om de 10000 måder en falsk email kan genkendes på, men kan i stedet nøjes med at lære at genkende en ægte email fra banken.
Bankerne kunne passende anvende OCES signatur til at signe deres email med, så slipper modtagerne for at skulle forholde sig til en eller anden fremmed eksotisk certifikat udsteder, de fleste danskere har nok hørt om og stoler på TDC.