Bankernes emailsikkerhed

DMARC, Internet, Sikkerhed

Creditcard Phishing
At bankerne i Danmark har en udfordring mht. Phishing er almindelig kendt, personligt modtager jeg regelmæssigt Phishing emails der skal forestille at komme fra min egen bank, men også fra banker hvor jeg slet ikke er kunde.
Problemet er så udbredt at nogle af bankerne har dele af deres hjemmeside dedikeret til at advare/hjælpe kunderne i forbindelse med Phishing.
Det er selvfølgelig èn måde at gribe problemet an på, lad den ubehagelig skade ske, og gå så ellers igang med at rydde op efter bedste evne.

Men lad os nu være ærlige, det er altså en lidt kluntet, for ikke at sige direkte dum måde at klare udfordringen på, faktisk er det stort set ligeså dumt, som at undgå graviditet ved hjælp af aborter og fortrydelsespiller frem for prævention 🙂

Nu sidder du måske og tænker: Jamen kan det nu passe, bankerne gør vel hvad de kan for at forhindre Phishing imod deres kunder ?
Lad mig slå fast med 7-tommer søm, bankerne i Danmark gør intet effektivt for at forhindre/forebygge Phishing imod deres kunder. Når det drejer sig om emailsikkerhed er de fleste danske banker teknisk set ca. 8-10 år bagud.

Løsning:
Bankerne skal implementere SPF og DKIM, derved får de mulighed for også at implementere DMARC. DMARC er nøglen til effektiv bekæmpelse af Phishing. Det er ikke en 100% sikker løsning, kundernes generelle IT kundskaber er stadig en faktor, men det er uendelig meget bedre end ingenting at gøre.

I tabellen herunder kan du måske finde din egen bank, og se hvor meget lidt de gør for at beskytte dig imod Phishing.

[table id=2 /]

? Jeg har ikke kunnet teste om banken understøtter DKIM idet det kræver banken sender en email til mig.
[1] SPF record er teknisk defekt.
[2] Anvender SPF features som ikke alle mailudbydere understøtter.
[3] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.
[4] Anvender forkert DKIM signatur på vigtige emails (Password recovery osv.).
[5] Anvender reject policy på subdomæner, men ellers kun monitor policy se [3]

Danske Bank fortæller om Phishing
Nykredit fortæller om Phishing
Nordea fortæller om Phishing
Jyske Bank fortæller om Phishing