DMARC nyt #5 - Danskebank phishing

Midt i Juni var Nykredit udsat for et større phishing angreb som strakte sig over flere uger. De kriminelle anvendte dengang forskellige nykredit.dk subdomæner til udsendelserne.
Der blev først sat en stopper for banditterne, da Nykredit valgte at lytte til gode råd og fik etableret en DMARC subdomæne reject policy.
Nu er banditterne tilbage fra sommerferie, og har denne gang kastet sig over Danske Bank. Jeg modtog idag denne email, som bortset fra logo og afsender adresse er en næsten tro kopi af de Nykredit emails der blev udsendt.

danskebank-phis
Danske Bank har i modsætning til Nykredit været igang med at implementere DMARC, men er bare aldrig blevet færdige. De har derfor stadig kun en overvågnings policy i drift, med andre ord, de kriminelle kan misbruge danskebank.dk domænet som det passer dem.

Tips til Danske Bank:
Få nu gjort den DMARC implementering færdig!
Som brandslukning af den aktuelle phishing kampagne kunne de ligesom Nykredit etablere en DMARC subdomæne policy som forhindrer misbrug af subdomæner, der er tale om max. 5 minutters arbejde.


"v=DMARC1; p=none; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"

skal udskiftes med :


"v=DMARC1; p=none; sp=reject; rua=mailto:mail.authentication@danskebank.com; ruf=mailto:mail.authentication.forensic@danskebank.com"