E-mail-phishing er ikke noget nyt fænomen. Igennem en årrække har hackere brugt e-mails til at snyde os enten som medarbejdere eller privatpersoner – og det er langt fra altid lige let at gennemskue bagmændenes bedrageri.

I denne artikel ser vi nærmere på e-mail phishing-forsøg, der bliver tiltagende mere sofistikerede og svære at gennemskue.

Vi kigger også på, hvordan du allerbedst sikrer dig selv og dine medarbejdere, kunder og brugere imod e-mail phishing. Det er nemlig ikke så svært, hvis du tager dine forholdsregler.

De mest gennemskuelige e-mail-phishing-forsøg

Vi kender alle spam-mailen, som er sendt fra en ukendt afsender og indeholder ét eller flere suspekte links.

Her gælder det om at tænke, før du klikker. Styr din nysgerrighed. Undlad for alt i verden at klikke på linket, når du ikke kender mailens afsender. Det er en tommelfingerregel – også selvom emnefeltet måske lokker med noget, du interesserer dig for.

Hvis du alligevel klikker på linket, føres du i de mest harmløse tilfælde til en side, der gerne vil sælge dig ét eller andet. I farligere tilfælde åbner du en exe-fil og begynder download af f.eks. en virus. Heldigvis skal du altid bekræfte dit download, før det går i gang og en eventuel virus kan åbne og brede sig. Derfor: undlad downloads fra sider, du ikke er sikker på. Det er også en regel.

Den lidt sværere

Her er et eksempel på én af de lidt mere sofistikerede phishing-mails, som hackere finder på at sende. Mailen er sendt til en medarbejder hos TRUSTZONE fra, hvad der ligner én af direktørerne i firmaet. Direktøren beder medarbejderen, Erik om at betale en presserende faktura.

Hvis du vil gennemskue dette fupnummer, skal du stå lidt tidligere op end sædvanligt. Du ser nemlig kun, at det ikke er vores direktør, der sender mailen, hvis du opdager, at der er et s for meget på afsendermailens domæneangivelse. Alle der har en gyldig TRUSTZONE-mail, sender fra adresserne eksempel@trustzone.com eller .dk – og altså ikke fra trustszone.com, der midt i ordet indeholder et s for meget.

Den noget mere sofistikerede

Du behøver på ingen måde at være et geni for at lave et endnu mere sofistikeret phishing-angreb, et såkaldt spearphishing-angreb, der simpelthen ikke vil kunne gennemskues ved bare at kigge på mailens afsenderadresse.

Med andre ord behøver det ikke at tage mere end 5 minutter at producere en mail, der sendes fra adresser, som margrethe2@kongehuset.dk, lars.løkke@stm.dk eller f.eks. no-reply@dragsholmsparekasse.dk eller no-reply@datatilsynet.com, hvor domæneangivelsen altså stemmer 100% overens med den formodede afsender.

Her vil du kun kunne gennemskue bedraget, hvis du undersøger afsenderen yderligere. Det kan du gøre ved at klikke besvar og tjekke retur-adressen meget grundigt. Du kan ringe til Danske Bank og spørge, om det vitterligt er dem, der har sendt dig mailen vedr. opdatering af dine kortoplysninger. Der er flere måder, men du skal kende dem og have tid til at anvende dem.

Se, hvor nemt det er at manipulere med afsenderadressen på mails i videoen i denne artikel.

Digital e-mail-signatur (S/MIME) giver modtager sikkerhed om afsenders identitet

Der findes dog måder, hvorpå du som afsender kan give modtagerne af dine mails meget sikker viden om din sande identitet.

DMARC er en mulighed. En anden er, at du som afsender benytter sig af en digital mail-signatur (et såkaldt S/MIME certifikat) kan du som modtager være meget sikker på, at afsender er, hvad vedkommende udgiver sig for.

En digital mailsignatur er især smart, hvis du som bank, forsikringsselskab, abonnementsservice eller anden virksomhed, der behandler personfølsomme oplysninger – vil have folk til at tage dine forespørgsler pr. mail alvorlige.

For det første er det så godt som umuligt at snyde sig til en digital signatur. Du vil simpelthen ikke kunne få udstedt en signatur, hvormed du kan udgive dig for en anden, end du er.

Det er virksomheder som TRUSTZONE, der udsteder S/MIME certifikaterne og i denne proces tjekker vi grundigt, at du har adgang til mailen og hvem du er. For at snyde, skal du på én eller anden måde løbe om hjørner med os og det har vi jo bygget en forretning på at gøre så svært som overhovedet muligt.

For det andet kan du ikke manipulere med certifikatet, når det er udstedt. Du kan f.eks. ikke videresende en mail, der er underskrevet digitalt – i hvert fald ikke uden, at du mister den oprindelige underskrift.

Det eller de forhold, som certifikatet verificerer, kan du heller ikke manipulere med.

Nogle S/MIME certifikater verificerer dig som person og ejer af en bestemt mailadresse. Andre som en del af en afdeling eller virksomhed og som ejer af den enkelte mailadresse. Selv de mest simple certifikater, der blot verificerer, at du vitterligt ejer den givne mailadresse (og dermed ikke som sådan verificerer din identitet som person og dit tilhørsforhold til en bestemt virksomhed eller afdeling), hjælper modtagerne af dine mails med at identificere dig som afsender.

Et sådan basic certifikat ville nemlig aldrig kunne udstedes til adresser som no-reply@dragsholmsparekasse.dk, no-reply@datatilsynet.com eller andre adresser, der snyder sig til at bruge et kendt domæne, som beskrevet ovenfor i de mere sofistikerede spearphishing-angreb.

Det ville ikke kunne lade sig gøre, da svindlere jo bare gør som om, men i virkeligheden ikke har adgang til @dragsholmsparekasse.dk eller datatilsynet.com-adresser. Det skal de have for at blive verificeret, som ejer af den enkelte mailadresse.

Under verifikation af selv de mest basale S/MIME certifikater, sender vi i TRUSTZONE en mail til adressen. Denne mail skal certifikat-ansøgeren svare på. Det kan vedkommende ikke, hvis adressen ikke findes – hvis den tilhører en anden person eller et domæne, som modtageren ikke har adgang til.

Derfor – det er altså slet ikke så svært for dig som afsender at lade modtagerne af mails gennemskue med sikkerhed, at du faktisk er, hvem du udgiver dig for. Ligeledes er det heller ikke svært for dig som modtager at gennemskue mailens afsender, så længe afsender anvender en digital mailsignatur.

Du kan købe det såkaldte PersonalSign S/MIME-certifikater hos TRUSTZONE. Se certifikaterne her.