Rejsebureau phishing

DMARC, Sikkerhed, Teknik

albatros-travel I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.

Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Denne gang var det Albatros Travel og deres kunder det gik ud over, hvem bliver mon de næste de kriminelle kaster sig over ?

Lad os kigge på hvad der egentlig skal til for at Albatros Travel kan sige de har gjort alt hvad der rent teknisk kan gøres for at forhindre IT kriminelle i at misbruge deres brand, man kunne kalde det en slags anti-phishing ToDo liste som de kan anvende hvis de kunne tænke sig at minimere effekten af, og risikoen for en ny phishing sag.

  1. WhoAmI øvelsen. Albatros Travel har et fint velkendt brand, men når det kommer til email kommunikation, bliver indtrykket lidt mudret. Noget email kommer fra albatros-travel.com, og til andre formål anvender man .dk/.se/.no/.fi domænerne. Alt i alt lidt forvirrende og en udstrakt hånd til IT kriminelle.
    ToDo: Simplificer eventuelt, men få under alle omstændigheder kommunikeret på hjemmesider, i kvitteringer og alle andre tænkelige steder hvad der anvedes til hvad.

  2. Email authentication Lader man hoveddøren stå pivåben får man nok på et tidspunkt besøg af banditter. Noget lignende kan man sige om domænenavne, Albatros Travels domæner (albatros-travel.dk/se/fi/no/com) står alle til fri afbenyttelse for alle som måtte ønske at anvende dem til at sende Albatros Travel phishing emails ud.

Albatros Travel bør implementere DMARC.
At implementere DMARC kan tage alt fra et par timer til flere år, i Albatros Travels tilfælde vil jeg mene det kan klares på et par uger eller 3.

Corporate email
Det ser ud til Albatros Travel internt i firmaet anvender Microsoft Exchange som mailserver, det er naturligvis ikke optimalt idet Exchange ikke har support for DKIM signing af emails indbygget, men det kan et smart lille produkt fra Adminsystem software rette op på.

Nyhedsbreve
Apsis som er nyhedsbrevsleverandør for Albatros Travel DKIM signer allerede alt email, her mangler man blot at tage en Albatros Travel Return-Path i brug, så vil de emails være 100% DMARC compliant.

Rapportering
En vigtig del af DMARC er de feedback rapporter man får fra mailservere rundt omkring i verden som modtager email der hævder at komme fra ens domæne. Ud over at afsløre eventuelle konfigurationsfejl eller “glemte” mailservere er rapporterne også med til at sikre man ikke bliver taget med bukserne nede næste gang kriminelle forsøger at misbruge ens domæne. Til behandling af DMARC rapporter kan man med fordel anvende Dmarcian.com

Resultat
Med DMARC sikrer man sig mod eksakt domæne phishing, dvs IT kriminelle vil ikke længere være istand til at afsende email med en albatros-travel.dk/se/fi/no/com From: adresse.
Det gælder for alle emailadresser hos Google, Yahoo, Microsoft, AOL og nogle andre.