Læs også: Danske Bank går til kamp mod phishing
Danmarks største bank, Danske Bank, blev mandag misbrugt i et phishingforsøg for anden gang inden for kort tid.
Bagmændene forsøgte på et særdeles velskrevet dansk at aflure bankens kunder oplysninger om deres betalingskort.
Imidlertid kunne langt størstedelen af disse phishingmails være undgået, hvis banken ligesom en række konkurrenter havde benyttet såkaldt SPF-information (Sender Policy Framework), som gør modtageren af en mail i stand til at kontrollere, om afsenderen af en mail er den ægte afsender.
Det fortæller flere sikkerhedsfirmaer til Computerworld.
På plads i Nordea og Sydbank
Mens eksempelvis Nordea og Sydbank benytter SPF, har både Danske Bank og PBS, som i løbet af den sidste uge er blevet ramt af de hidtil mest målrettede phishingforsøg i Danmark, undladt at benytte den eksisterende fælles standard.
SPF gør det ellers med simple midler hos virksomhederne muligt for modtagere af mails at sortere eksempelvis falske mails fra pengeinstitutter fra i deres indbakke ved hjælp af et spamfilter.
Uden brug af SPF overlades ansvaret for at identificere farlige phishingmails til den almindelige computerbruger. Og det er forkert, mener Steen Pedersen, som er Security Business Manager hos Atea.
"Med SPF ligger man noget af ansvaret og muligheden for at stoppe disse phishingmails over til de virksomheder der er potentielle ofre for phishingmails, i forhold til at lægge hele ansvaret hos modtagerne," siger Steen Pedersen.
Sender Policy Framework er informationer, som tilføjes DNS-systemet (Domain Name Service), der fungerer som en slags telefonbog for internettets servere og computere.
Standarden indeholder informationer, som ved at sammenligne ip-adresser og domænenavne gør det muligt for antispam-funktioner i modtagerernes mailsystemer at kontrollere, om en påstået afsenderadresse som eksempelvis DanskeBank.dk kommer fra de ip-adresser, som Danske Bank har angivet som ægte.
Ved at bruge SPF får virksomheder, som kan risikere at få misbrugt deres navn i et phishing-angreb, mulighed for at hjælpe modtagere af de falske mails med at frasortere dem automatisk.
"90 procent af alle spamfiltre, som er i brug i Danmark, eller i verden for den sags skyld, har mulighed for at identificere disse SPF-informationer," siger Steen Pedersen
Således benytter både Gmail, Hotmail og telefonselskabernes gratis mailsystemer til internetkunder SPF-informationerne til at sortere spam og phishing-mails fra, inden de havner i kundernes mail-indbakker.
"Alle, der kører deres private mail gennem en almindelig internetudbyder, har muligheden for at få deres mail tjekket for SPF-informationer i udbyderens spamfilter," siger Steen Pedersen.
Billigt og nemt
Eftersom SPF er en del af det globale DNS-system er det hverken dyrt, indviklet eller langsommeligt for eksempelvis Danske Bank at kunne forhindre modtagelsen af omkring 80 af de udsendte phishingmails fra ukendte bagmænd, vurderer Steen Pedersen.
"Det er ikke dyrt, og specielt ikke for Danske Bank. Det svarer til, at du skal skrive dit mobilnummer i telefonbogen. De skal blot registrere informationerne det rigtige sted. Det koster ingenting udover få timers arbejde," siger Steen Pedersen.
Han vurderer, at Danske Bank og PBS ved at benytte SPF kunne have reduceret antallet af telefonopkald fra bekymrede kunder betragteligt.
"Selve den tid, der skal bruges på at lave det her, den er så lille i forhold til den gevinst, som Danske Bank og andre virksomheder som er potentielle "ofre" for phishing, kan få efterfølgende," siger Steen Pedersen.
Kan ikke undgå phishingmails
Hos Commendo fortæller marketingchef Chris Østergaard, at SPF-systemet kan benyttes til at undgå phishing-mails.
Men systemet er ikke perfekt, fordi det ikke er alle virksomheder, som benytter teknologien.
"Bagsiden er jo, at hvis ikke alle er med, hvis det ikke er opdateret, og hvis ikke alle bruger det, så nytter det ikke noget," siger Chris Østergaard, der understreger værdien af information om sund fornuft til computerbrugerne.
Åben standard
SPF er ifølge Steen Pedersen fra Atea en åben standard, som er tilgængelig for alle.
Både Microsoft, Google og andre store virksomheder underbygger således teknologien, som har flere hundrede tusinde virksomheder registreret som brugere.
"Det er en åben standard, ligesom SMTP. Det er ikke proprietært, der er ikke nogen, der ejer det. Det koster kun tid til registrering af SPF-informationer i DNS," siger Steen Pedersen.
Læs også: Danske Bank går til kamp mod phishing
