Indlæg

Hav styr på emailsikkerheden i virksomheden

Ingen kan vide sig sikker med manglende e-mailsikkerhed – her er tre eksempler

Der kan være meget på spil, hvis man ikke har styr på sikkerheden i sit e-mailsystem. Det har der været flere eksempler på gennem tiden, og nedenfor vil vi tage et kig på nogle af de mere kendte eksempler på, hvad konsekvenserne kan være ved ikke at have styr på sin IT-sikkerhed.

Disse eksempler er alle fra større organisationer, men læringen er den samme – stor som lille bør implementere et robust forsvar mod hackere og svindlere, også i forbindelse med e-mail.

Ikke alene er det med til at nedsætte risikoen for, at hackere og svindlere får held med deres forehavender, det giver også en mere ren og behagelig dagligdag – i hvert fald i forbindelse med de mails, man håndterer på daglig basis.

Forsvaret lukkede russerne ind

Forsvaret lukkede russerne ind

Det danske forsvar lukkede hackere ind i e-mailsystemerne, da en eller flere medarbejdere blev lokket til at klikke på et link til en side, der har imiteret en login-side fra Forsvarets webtjeneste.

Her er Forsvarets medarbejdere blevet narret til at indtaste sine login-oplysninger, men siden har været en kopi kontrolleret af hvad der formodes at være russiske hackere. På den måde har Forsvarets ansatte afgivet sine loginoplysninger til hackerne.

Med disse login-oplysninger har hackerne kunnet infiltrere Forsvarets e-mailsystem, og over en periode på hele to år har det været muligt for hackerne at kigge med i de mails, der er blevet sendt og modtaget.

En rapport om angrebet har senere fastslået, at hackerne kun havde haft adgang til det e-mailsystem, som håndterer såkaldt ’ikke-klassificeret’ materiale. Det vil sige, at de største hemmeligheder og vigtigste information ikke har været tilgængeligt for hackerne.

Alligevel er det sigende for vigtigheden af e-mailsikkerhed og IT-sikkerhed generelt, når en så stor, statslig organisation kan ende med at blive offer for angreb gennem indbakken.

Tryg fik låst filer

Hackere låser filer

Heldigvis for den store virksomhed Tryg, endte et succesfuldt phishingangreb med kun at låse filerne hos en enkelte medarbejder, men havde det software, der blev brugt i angrebet været mere sofistikeret, kunnet det have gået ud over langt større dele af virksomheden.

En medarbejder hos Tryg åbnede en vedhæftet fil i en mail, og det endte med at kryptere alle den pågældende medarbejders filer.

Denne type angreb har næsten 90 procent af danske virksomheder oplevet, af dem som har svaret på en undersøgelse lavet af KMD.

Betegnelsen for denne type angreb er ransomware-angreb, fordi filerne på ens computer – og måske flere computere og systemer på et netværk – bliver taget som gidsel gennem en kryptering. For at få nøglen til krypteringen eller at få låst op for den, kræver hackerne en løsesum.

Ransomware-angreb er den samme type angreb, der for nylig har sendt chokbølger gennem det meste af verden, hvor en lang række lande er blevet ramt af WannaCrypt-softwaren.

FACC får stjålet 50 millioner euro gennem e-mailsvindel

Man kan miste penge ved emailsvindel

Den østrigske fabrikant af flydele FACC bliver ofre for det, der kaldes ’CEO fraud’ eller direktørsvindel. Det er endnu en form for angreb gennem e-mail, og ligesom med ransomware-angreb er fokus på at tjene penge.

Svindelnummeret går ud på, at en ansat i en virksomhed eller organisation, som har en stilling, der gør det muligt at overføre penge på virksomhedens eller organisationens vegne, får en mail fra en overordnet.

I den mail er instrukser om at overføre et bestemt beløb til en bestemt konto – ofte med en kort tidsfrist for at sætte pres på medarbejderen.

Mailen, som ser ud til at komme fra den overordnede, er dog ikke, hvad den ser ud til, for den kommer i virkeligheden fra svindlere, der har sat en e-mailadresse op til at ligne organisationens. På den måde lykkes det af og til svindlere at fuppe også store virksomheder på denne måde.

Af danske eksempler kan nævnes Statens Museum for Kunst, men beløbet museet blev snydt for er vand i forhold til de 50 millioner euro – cirka 372 millioner danske kroner. Statens Museum for Kunst blev snydt for omkring 800.000 kroner.

Emailhacking er ubehageligt

Derfor er e-mailhacking så ubehageligt

Det er selvfølgelig let at sige, at al IT-sikkerhed er vigtigt, og at dermed er e-mailsikkerhed også vigtigt, men det er en lidt forsimplet måde at se på emnet. E-mails er nemlig en meget anderledes indgang for hackere og svindlere, end en browser er det.

Svindel gennem e-mail kan ske på mange måder, og derfor er det også vigtigt ikke at negligere IT-sikkerheden på denne front.

Der er heldigvis en del, man kan gøre som virksomhed eller organisation, for at dæmme op for de phishing-angreb og svindelnumre, der er målrettet indbakken – særligt er det værd at kigge på SPF record, DKIM og DMARC, som vi har berørt på bloggen her.

Det er tættere på

Ens indbakke er meget personlig, og derfor kan man foranlediges til at føle sig sikker, når man går gennem de mails, man har fået. Man har måske endda i baghovedet, at de e-mails, der kommer ind, allerede har været igennem et spamfilter, og at man dermed roligt kan åbne de mails, der har fundet vej til en.

Når der så kommer en e-mail med skadeligt indhold, måske forklædt som en helt normal PDF eller et tekstdokument, er der en risiko for, at man som modtager har sænket paraderne.

Trusler for IT-sikkerheden i indbakken er også serveret for en, modsat hvis man pådrager sig malware eller virus gennem en browser.

De fleste er klar over, at det er forbundet med en vis risiko at besøge de websider på nettet, der er mindre fine i kanten, som eksempelvis ulovlige streaming-sider. Når man befinder sig på en af disse sider, er det på eget ansvar at klikke på bannere og downloade software.

På sin vis kræver det en mere aktiv indsats at pådrage sig skadeligt software, når det kommer gennem en browser, fordi man selv skal gå ind på en bestemt side på nettet. Sådan er det ikke nødvendigvis med e-mail, som jo bliver serveret for modtageren i indbakken.

Der er flere variationer

Der findes forskellige versioner af emailhacking

Når man snakker om de angreb, der sker gennem indbakken, er det ikke kun én form for angreb. De skadelige e-mails kan komme i et væld af forskellige former og formater, og derfor er det en god ide at sætte forsvar op, inden de pågældende mails når indbakken – så har modtageren mindre at skulle forholde sig til.

Herunder er tre typiske former for forsøg på svindel gennem e-mail for at illustrere, hvor forskelligartede angrebene kan være:

  • Nigeria-breve

Den helt klassiske mail er fra en nigeriansk prins, onkel, advokat-for-rigmand-uden-arvinger-bortset-fra-dig eller lignende. Ofte er de skrevet på gebrokkent engelsk, og de er for de fleste lette at gennemskue. Nigeria-brevene hører til i den mindre sofistikerede del af svindelnumrene, der kan finde vej til din indbakke, og de bliver efterhånden ofte fanget i spamfilteret.

  • CEO fraud

Her har svindlerne oprettet en e-mailadresse, som ved første øjekast ser ud til at være den samme som en overordnet i en organisation eller virksomhed. Måske er et g skiftet ud med et q, og det kan være svært at spotte i farten i visse skrifttyper. Den e-mailadresse bruger de til at sende en mail til en person i organisationen, som kan sende penge til eksempelvis køb af større partier varer eller endda store beløb til opkøb af andre virksomheder.

Ordlyden er typisk noget i stil med, at chefen (afsenderen) sidder i møde med forretningspartneren, men han eller hun skal have hasteekspederet en overførsel på et vist beløb til en bestemt konto.

Her spiller svindlerne på den pligtopfyldende følelse, mange har over for deres chefer.

  • Den ’harmløse’ vedhæftning

Filer kan forklædes som andre filtyper, og det kan svindlere og hackere udnytte til at lokke folk til at åbne de skadelige filer, der måtte være vedhæftet en mail. Teksten i mailen kan variere meget og kan foregive at dreje sig om alt fra en fakturafejl fra dit sidste køb online til at være en opskrift på bedstemors æbletærte.

Fælles er dog, at den fil, der kan være forklædt som en PDF, et tekstdokument eller noget helt tredje, ikke er, hvad den giver sig ud for. På den måde forsøger hackerne at lokke modtageren af mailen til at åbne den skadelige software ved at få den til at ligne noget andet.

Den ’nye’ bølge af ransomware-angreb

I kølvandet på den verdensomspændende ’WannaCrypt’-epidemi er det kommet frem, at den skadelige software ikke nødvendigvis har været betinget af, at man har klikket på et link eller åbnet en fil i sit mailsystem.

I stedet har softwaren selv været i stand til at sprede sig på computeren og kryptere filer, og dette understøtter blot tanken om, at disse former for angreb skal stoppes, før de når indbakken.

I takt med teknologien og hackerne bliver klogere og mere avancerede, må man også forvente, at angrebene bliver det samme.

Dmarc står får Domain Message Authentication Reporting & Conformance

Hvad er DMARC?

DMARC står for Domain Message Authentication Reporting & Conformance, og det er en procedure, der er sat I verden for at mindske mængden af e-mails, der ikke er reelle. Det vil typisk dreje sig om spam og phishinge-mails, som DMARC tager sig af.

På en måde kan man sige, at DMARC er en vejledning, der kan bruges af de forskellige mailsystemer, så de ved, hvordan de skal reagere på e-mails, der ser suspekte ud.

Denne vejledning har så den fordel, at den får strømlinet måden at håndtere e-mails på tværs af de forskellige e-mailsystemer, der vurderer e-mails på forskellige måder. Hvis en e-mail ikke klarer verificering gennem SPF record eller DKIM, skal det modtagende e-mailsystem stadig tage stilling til, hvad der skal ske – det hjælper slutbrugerne til at få en renere indbakke.

Overbygning og samlingHold orden i din indbakke

Tanken bag DMARC er at forene de mange tiltag, der findes, som forsøger at høje e-mailsikkerheden og brugeroplevelsen i forhold til blandt andet spam.

Det er DKIM og SPF record, der bliver kigget på, når DMARC-proceduren træder ind og vedhæfter en manual på den indkommende mail. DMARC kigger efter, om afsenderen har benyttet sig af SPF record og DKIM – eller bare en af delene – og ud fra det, vurderes det, hvad der skal gøres, hvis e-mailen ikke kan verificeres.

Når modtagersystemet så får den pågældende mail, tjekker systemet, om SPF record og DKIM er i orden.

Hvis der ikke kan verificeres gennem SPF record og DKIM, kigger mailsystemet på DMARC-manualen og derfra afgør, om mailen skal i karantæne, eller om den skal fjernes helt.

På den måde bliver der sorteret en ekstra gang i de indkommende e-mails, og det er med til at holde orden i indbakken.

Feedback til afsenderen

DMARC muliggør også en form for feedback til afsenderen af e-mails. Det er noget, der ikke skal undervurderes, fordi det kan være vigtigt at få sine mails frem på sikker vis.

Som eksempel kan tages, at hvis en e-mail bliver afsendt fra en medarbejder i en større organisation, og DKIM-stemplet bliver sat på, inden e-mailen kører gennem organisationens hovedserver, kan der ske ændringer af mailen, efter DKIM-stemplet er blevet sat på.

På den måde vil en e-mail, som i bedste mening er stemplet som sikker at åbne for modtageren, se ud som om, den er blevet ændret efter afsendelse – noget der øger risikoen for, at e-mailen ender i karantæne eller helt at blive afvist.

Implementering af DMARC kan være svær

Implementeringen af dmarc kan være svær

For dem uden en baggrund i IT kan det være vanskeligt at implementere DMARC i sit e-mailsystem. Helt præcist hvordan det skal sættes op og implementeres, afhænger af e-mailsystemet, og derfor er det svært konkret at sige, hvordan det skal gøres.

Det ligger dog fast, at SPF record og/eller DKIM skal være implementeret, da det er disse standarder, der læses på i forhold til DMARC.

Fordi det er flere ting, der skal implementeres, anbefales det at kontakte en IT-konsulent, hvis ikke man har en IT-afdeling i virksomheden eller organisationen.

Det vil som regel spare meget tid, og det sikrer, at systemerne er sat ordentligt op, så man kan sende og modtage e-mails uden problemer.

DMARC øger sikkerheden

Har man implementeret DMARC – og altså også SPF record og DKIM, som DMARC læner sig op ad – har man allerede taget et betydeligt skridt i den rigtige retning mod bedre e-mailsikkerhed.

DMARC, DKIM og SPF record er alle med til at beskytte mod phishing-angreb, som er så meget oppe i tiden. De gør det på hver sin måde, hvor DMARC er knuden, der binder indsatserne sammen, fordi proceduren kan fortælle et modtagersystem, hvad der skal ske med en mail, hvis den ikke bliver verificeret korrekt.

På den måde ender den menneskelige modtager med færre e-mails, der kan indeholde skadelig software, forsøg på CEO fraud eller lignende.

DMKI står for DomainKeys Identified

Hvad er DKIM?

Forkortelsen DKIM står for ’DomainKeys Identified’ Mail og er kort fortalt en metode, e-mail mellem en afsender og en modtager bliver verificeret som kommende fra den rigtige kilde. Afsenderen er, hvem han/hun giver sig ud for.

Netop at udgive sig for at være en anden er en kendt måde at udøve en form for phishing på kendt som CEO fraud eller direktørsvindel.

DKIM blev til i begyndelsen af dette årtusinde, da både Yahoo! og Cisco arbejdede på en måde at gøre e-mail mere sikkert. Yahoo!’s initiativ hed ’enhanced DomainKeys’, og Ciscos hed ’Identified Internet Mail’.

De to projekter blev slået sammen, og det blev navnene også og endte altså med DomainKeys Identified Mail – DKIM.

Okay, men hvordan virker DKIM så?

DKIM virker i billedlig forstand som et stempel på, at den pågældende e-mail kommer fra den afsender, der står på e-mailen. På den måde kan en modtager vide, hvorvidt det er en e-mail, man skal have tillid til eller ej.

Denne teknologi kan groft sagt to ting – den kan skrive under, og den kan validere. Har man som virksomhed sat DKIM op på sin e-mail, vil udgående mails, som er blevet skrevet og er blevet sendt af brugeren, få et stempel på vejen ud af DKIM-elementet, der er implementeret.

Det stempel fortæller, hvornår mailen er sendt, hvem den er sendt fra, hvilken algoritme, der har produceret stemplet og så videre.

I modtagerens ende sidder der også et DKIM-modul lige på kanten af modtagerens e-mailsystem for at bruge et forståeligt billede. Inden mailen bliver lukket ind, tjekker DKIM-koden, at stemplet på mailen er i orden, og at det er autentisk – stemplet bliver valideret.

Finder DKIM-koden ud af, at den er god nok, det er et rigtigt stempel, vil mailen blive lukket ind i systemet og afleveret i den rigtige indbakke.

Opsætningen kan kræve hjælp

Email bliver verificeret og stempletOpsætning af DKIM er ikke det samme som at trykke på en knap, og så kører det – det kræver noget viden at sætte DKIM op, så det virker efter hensigten.

Opsætning af DKIM kan være besværlig, fordi fremgangsmåden kan variere alt efter hvilken internetudbyder og mailsystem, man har. Derfor er det også svært at liste en guide til, hvordan man lige får sat en DKIM-signatur på sine e-mails.

En del internetudbydere og mailsystemer understøtter i forvejen valideringen af disse DKIM-certifikater, og derfor ligger arbejdet i højere grad i at sørge for at få sat et stempel på ens udgående mails. Og så at sikre sig, at e-mailhåndteringssystemet handler i forhold til de DKIM-certifikater, systemet støder på.

Det er implementeringen af det stykke kode, der skal sætte certifikatet fast på de udgående e-mails, der kan være svær at sætte ind, hvis man ikke har en baggrund i computerkode. Der er et væld af e-mailudbydere, og hos nogle er processen sværere end andre.

Er man i en organisation eller virksomhed med en dedikeret IT-afdeling, bør det dog være muligt at få opsat DKIM-certifikater, som kan højne sikkerheden.

Et værn mod CEO fraud

En svindelmetode, der dukker op med jævne mellemrum i nyhedsstrømmen herhjemme i Danmark er CEO fraud, som også kaldes direktørsvindel. Et middel til i hvert fald at mindske risikoen for denne form for svindel er forsvarsmekanismer som DKIM.

CEO fraud går i korte træk ud på, at en svindler sender en e-mail til en medarbejder i en virksomhed eller organisation, som ser ud til at være fra ledelsen – typisk topchefen. Medarbejderen, der er målet for svindelmailen er som regel en, der sidder med pengetransaktioner, og som kan sende penge ud af virksomheden.

DKIM alene er ikke et uigennemtrængeligt værn mod svindlerne, men det kan være med til at luge ud i dem og på den måde holde din indbakke i lidt mere orden.

Ud over DKIM anbefales det at have opsat en SPF record og også Dmarc-standarden for at verificere indkomne e-mails.

SPF record Sender Policy Framework

Hvad er SPF record?

 

Phishing har fundet sted i årevis, og der bliver udkæmpet slag i krigen mod phishing og spam hver eneste dag. En af måderne at gardere sig mod phishing er ved at opsætte en SPF record, en relativt simpel måde at øge IT-sikkerheden ved at sætte et forsvar op for din mailboks.

SPF står for ’Sender Policy Framework’, og det er en relativt simpel ramme at stille op for ens e-mailsystem, hvis man har gode IT-kundskaber.

Forklaringen, på hvad en SPF record er, kan være kompliceret, hvis man ikke kender meget til det i forvejen, men det er forsøgt forklaret herunder.

(Har man ikke selv kompetencerne til at opsætte en SPF record, er det værd at opsøge en IT-konsulent, der kan. SPF record kan ikke alene nedsætte mængden af spam, det kan også værne mod CEO fraud, der også kendes som direktørsvindel på dansk.)

Først – hvad er DNS?

Beskyt din ip-adresse DNS

Der er en meget central ting, der skal på plads, for at man kan forstå, hvad SPF record er, og det er DNS. Det er heldigvis ikke lige så kompliceret som mange andre ting på kode-området, men det er en nødvendighed at gå igennem det, inden vi kan gå videre til SPF.

DNS står for ’Domain Name System’, og kort forklaret oversætter DNS et domænes navn til den tilsvarende ip-adresse.

Selvom det vi ser, når vi surfer på nettet, er domæner som dr.dk, nielcoit.dk og google.com, er det faktisk kun for vores skyld. Det er lettere at huske ord, end det er at huske ip-adresser, som det rent faktisk er, domænerne ligger på.

Når vi taster et domænes navn ind i browserens adresselinje, kommer DNS i spil, for det oversætter for browsere, hvilken ip-adresse, vi gerne vil besøge. Før når browseren har fået vores bogstaver oversat til en ip-adresse, ved den, hvor den skal tage os hen.

Hvert domæne har altså sin egen ip-adresse, som er unikt for det pågældende domæne.

Den gode liste

SPF security

Med den viden om, hvordan DNS fungerer, kan vi begynde at bevæge os over til SPF record. Det kan man nemlig lidt sammenligne med en gæsteliste, en dørmand får udleveret. Kun de på gæstelisten må komme ind.

Sådan er det også med SPF record. SPF record er en gæsteliste, et e-mailsystem tjekker med, når der kommer nye mails. På den måde kan e-mailsystemet se, om en e-mail kommer fra et domæne, der er tillid til.

Det er netop sådan, en SPF record kan gardere mod CEO fraud – her vil hackerne, der udsender den falske e-mail fra direktøren, typisk ikke kunne sende fra den samme ip-adresse, og det vil en SPF record kunne se.

Her er vi tilbage ved DNS, fordi det er muligt at kalde sit domæne noget, som til forveksling ligner det domæne, man angriber. Man kan få en mail til at se ud som om, den kommer fra eksempelvis skat.dk for os, men SPF record’en kigger på den ip-adresse, der er tilknyttet, og den vil ikke være den samme som det rigtige skat.dk.

På den måde kan phishing e-mails bliver fanget i opløbet, og brugerne vil slet ikke blive præsenteret for muligheden for at falde i fælden.

Overraskende lidt udbredt herhjemme

For IT-professionelle er det ikke den mest komplicerede opgave at sætte en SPF record op, så virksomheden er bedre beskyttet mod CEO fraud eller så myndigheden ikke kommer til at lække fortrolige oplysninger.

På trods af det er det dog ikke så udbredt at have en SPF record i Danmark, som man måske kunne ønske sig. Når det kommer til IT-sikkerhedspolitik i Danmark er SPF record nemlig en mangelvare, og flere myndigheder her i landet har ikke dette ellers basale forsvar på plads.

Blandt de mere prominente organisationer, der ikke har denne type forsvar mod CEO fraud og phishing kan nævnes Politiets Efterretningstjeneste, Finansministeriet og Forsvaret.