Tema: Det er faktisk muligt at snyde systemerne hos DK Hostmaster og på den måde oprette et domæne i en anden persons navn.
Det fortæller Per Kølle, der er administrerende direktør for DK Hostmaster, der administrerer alle domæner på .dk topdomænet.
Dermed kan den 25-årige studerende, som i går blev verdenskendt som ejer af en phishing-server, være det første danske offer for identitetstyveri, hvor en fremmed opretter et domæne til kriminelt brug i et intetanendes offers navn.
Sender brev til oplyst e-mail
I forbindelse med registrering af et domæne sender DK Hostmaster ifølge Per Kølle en bekræftelsesmail ud til den e-mail-adresse, som registranten har oplyst. Herefter er det meningen, at ejeren af e-mailen skal bekræfte ordren.
Samtidig sender DK Hostmaster et fysisk brev af sted for at sikre, at den person eller virksomhed, som har adressen, rent faktisk eksisterer ude i verden, fortæller Per Kølle.
"Og der forventer vi selvfølgelig, at folk der får sådan et brev fra os, hvor de skal bekræfte deres ordre, de ringer og siger: Hvad er det for noget? Det kender vi da ikke noget til," siger Per Kølle.
Ifølge direktøren afsender DK Hostmaster det fysiske brev fredag i samme uge som ordren er modtaget elektronisk.
"Så der kan i princippet gå fem dage," siger Per Kølle.
Spørgsmålet er, om det er muligt for en ivrig hacker at nå at opsætte et phishingsite på de dage der er til rådighed mellem en falsk oprettelse og den dag et fysisk brev når frem til offeret for identitetstyveriet. Og det mener Per Kølle er muligt.
"Det kan man godt. Hvis man forbereder alt sammen, så tager det jo ikke mange øjeblikke at sætte et domænenavn op i en navneserver. Så hvis man har forberedt alle hjemmesiderne der skal kobles på et domænenavn, så er det jo kun lige at koble det på en navneserver. Det tager 10 sekunder. Så kører det," siger Per Kølle.
Per Kølle har kun i et enkelt tilfælde hørt om, at en registrant var ved at blive offer for en falsk registrering. Men i det tilfælde ringede offeret efter modtagelsen af brevet og gjorde opmærksom på, at han intet havde med domænet at gøre.
"Og så slukkede vi selvfølgelig domænenavnet med det samme," siger Per Kølle.
Derfor er spørgsmålet nu, om det kan være netop dette, som i går ramte den 25-årige studerende fra København.
"Det er helt korrekt, at den email adresse, der står, det er også den adresse, der får aktiveringskoderne," siger Per Kølle.
Risiko er minimal
Per Kølle vil ikke kalde sådan en hændelse for identitetstyveri, men fortæller, at det er muligt at systemet på grund af den venlige måde, som organisationen opretter emailadresser på.
"Hvis man har ondt i sinde, så kan man omgå det ved at sætte en email adresse på, der rent faktisk ikke tilhører den person, vis adresse vi har," siger Per Kølle.
Ifølge Per Kølle skal muligheden holdes op imod hvor få gange denne udnyttelse rent faktisk sker.
Han fortæller at DK Hostmaster registrerer omkring 17.000 nye domæner hver måned. Samtidig er det en problemstilling som organisationen drøfter meget, også i bestyrelsen, fortæller Per Kølle.
Årsagen til fremgangsmåden er, at kunderne typisk lader en registrator aktivere domænet og efter modtagelsen af brevet har mulighed for at ændre koderne, så registratoren ikke længere kan ændre i noget.
"Men det er rigtigt at systemet kan snydes eller udnyttes. Sandsynligheden er bare meget lille," siger Per Kølle.
