Selv it-professionelle kan blive snydt af en falsk e-mail, hvor kriminelle udgiver sig for at være Skat eller din bank og beder dig klikke på et link og for eksempel aflevere login-oplysninger.
Men mange af disse phishing-mails kunne blive kvalt i fødslen, hvis danske myndigheder, banker og andre firmaer med stor kundekontakt ville bruge en smule energi på sikkerhedsfunktionen DMARC. Det siger Henrik Kramshøj, direktør for Solido Networks og blogger på Version2, som på DIFO’s konference Internetdagen fandt sammen med en række andre internetfolk om DMARC. Gruppen vil nu prøve at slå på tromme for, at der kommer fokus på denne ekstra sikkerhed.
»Vi kan se, at der stadig i praksis er utrolig mange phishing-forsøg målrettet mod danskere. Og mange følger linket i mailen og kommer til sider, der inficerer deres computer,« siger Henrik Kramshøj til Version2.
Hvis alle de store danske firmaer og offentlige myndigheder, som sender e-mails ud til mange kunder og brugere, begyndte at bruge DMARC, ville det blive meget sværere for de it-kriminelle at få deres phishing-mails ud.
En DMARC-liste fortæller nemlig præcist, hvilke servere for eksempel Skat sender deres e-mails fra, og så kan Google, Yahoo og de andre store e-mail-udbydere sortere alt andet fra. Det er en nem og meget effektiv foranstaltning, så det er bare at komme i gang, mener Henrik Kramshøj.
»Det er bare nogle enkelte DNS-ændringer, de skal lave, så det er ikke dyrt. Det store arbejde ligger hos Gmail og de andre. Så vi kan for en meget lav omkostning få en stor gevinst,« fortæller han.
Bliver advaret, hvis der er noget i gære
På hans ønskeliste over firmaer, som bør kaste sig over DMARC fuldt ud, er alle bankerne, Skat og de store teleselskaber, især TDC.
I dag er DMARC-funktionen i brug nogle steder, og for eksempel Danske Bank arbejder på at tage det i brug. Men for at få den størst mulige effekt, skal det helst være alle potentielle phishing-mål i Danmark, der tager den ekstra sikkerhed i brug, for ellers flytter phishing-folkene bare videre til andre mål.
»Du kan lave phishing-mails fra alle de firmaer, der sender mails ud til mange kunder. Så Post Danmark og Interflora kan hurtigt blive de næste, hvis bankerne og Skat hæver sikkerheden,« siger Henrik Kramshøj.
En anden fordel ved DMARC er, at man som virksomhed får en melding fra for eksempel Google, hvis der bliver sendt falske mails ud, som Google stopper på grund af DMARC-hvidlisten. Det kan være første skridt, hvis man lige skal i gang.
Leave a Reply