Vil redusere phishing

Et kraftig nytt våpen i kampen mot phishing-kjeltringer heter DomainKeys Identified Mail og omfavnes av flere store aktører.

Publisert Sist oppdatert

Termen phishing henviser til analogien hvor kriminelle «fisker» passord og annen privat informasjon fra et «hav» av Internett-brukere. Allerede i 1996 ble kompromitterte brukerkonti i AOL kalt phish, og i ettertid har kjeltringenes fantasi vært livlig.

Nå har aktører som Yahoo, Google, PayPal satt inn en storoffensiv for å begrense fiskernes epost-bedragerier så godt det lar seg gjøre.

Det nye våpenet

DomainKeys Identified Mail (DKIM) er en standard for autentisering av epost, og er utviklet av Internet Engineering Task Force. Standarden lar bedrifter signere utgående eposter med kryptering slik at det ikke skal være noen tvil om hvor meldingen stammer fra.

Ifølge en rapport nylig levert av Authentication and Online Trust Alliance (AOTA), går det frem at så mye som 80 prosent av epost fra ledende merkevarer, banker og ISPer er forfalsket. Grunnlaget for denne rapporten er AOTAs analyser av 100 millioner eposter sendt over en fem måneders periode.

Ifølge AOTA er det viktig at it-avdelinger vurderer epost-autentisering som et konkurransefortrinn for sine merkevarer og sine kunder. Det er også viktig å beskytte sine ansatte fra forfalsket eller bedragersk epost.

DKIM-tilhengerne mener ellers at standarden er et viktig steg i å gjenopprette konsumentenes tiltro til epost. – DKIM vil ikke bety slutten for all phishing, men jeg er sikker på at DKIM vil forhindre at phishing-angrep inntreffer, sier Jim Fenton i Cisco til vårt søstertidsskrift Network World. Han er også en av personene bak denne standarden.

Slik virker det

DKIM har vært under utvikling siden 2004, og det er forventet at standarden når en kritisk masse i løpet av dette året. Det er innen finansielle institusjoner og e-handel vi vil se DKIM først. Selskaper som har kastet seg på DKIM-bølgen er blant andre Bank of America, American Greetings og Cisco.

DKIM gjøre det altså mulig for bedrifter å sette sin kryptografiske signatur i utgående eposter, samt assosiere signaturen med sitt domenenavn. Signaturen følger eposten uavhengig av hvilken rute som velges på tvers av internett. Mottakerne kan så bruke signaturen for å sikre seg om at eposten virkelig stammer fra bedriftens domenenavn.

DKIM er egentlig en sammensmelting av de to protokollene DomainKeys og Identified Internet Mail. DomainKeys er utviklet av Yahoo, mens det er Cisco som står bak Identified Internet Mail. DKIM-arbeidsgruppen til IETF arbeider fortsatt med å finjustere «Sender Signing Practices» - et dokument som vil beskrive hvordan avsendere kan gi informasjon i sine DKIM-arkiv for mottakere.

Dette for at mottakerne selv skal kunne bestemme hvilke valg de ønsker å ta når en epost tikker inn fra avsenderen. Hvis man for eksempel vet at en viss avsender alltid signerer sin epost, og det plutselig dukker opp en usignert melding, kan man anta at denne er forfalsket.

BITS er en konstellasjon av 100 av de største finansielle institusjonene i USA. Denne gruppen har tidligere anbefalt sine medlemmer om å innføre DKIM innen oktober 2008. Men BITS har også anbefalt to andre standarder for å sikre epost.

LES OGSÅ: Bruker nye triks

Dette er Transport Layer Security (TLS), som krypterer epost mellom servere, og enten Sender ID Framework (SIDF) eller Sender Policy Framework (SPF) for å sikre at mottatte eposter stammer fra en autorisert epost-server.

Blant aktørene som nå bruker DKIM flittig finner vi PayPal og eBay som sammen med Yahoo ønsker å beseire phishing-angrep. EBay signerer sine eposter med DKIM, og Yahoo Mail vil blokkere epost som sendes fra eBay og PayPal, men som ikke er signert gjennom DKIM.

PayPal bruker DKIM etter at de også har rullet ut Sender Policy Framework (SPF) – en kompletterende standard som er en forlengelse til Simple Mail Transfer Protocol (SMTP). SPF gjør det mulig for programvare å forkaste epost som kommer fra bedragerske adresser.

Noen ulemper

Selv om Yahoo skal ha blokkert hundretusener, noen ganger millioner, eposter per dag som tilsynelatende kommer fra eBay eller PayPal, så finnes det også noen ulemper med DKIM. Det er foreløpig en minoritet som signerer sine utgående meldinger med DKIM. Og det er foreløpig enda færre som sjekker etter DKIM-signaturer på innkommende epost. Dette vil trolig endres når ISPer og banker går for DKIM, noe som det er gode prognoser for.

Slik innfører du DKIM

Her gir vi deg tre trinn som er nødvendig for å rulle ut DKIM.

1. Vurder alle domener som skal ha lov til å sende utgående epost på vegne av bedriften. Dette kan ofte inkludere flere bedriftsdomener så vel som tredjeparts markedsføringsselskaper.

2. Opprett DNS-oppføringer som inkluderer DKIM-informasjon for hvert domene som brukes til å sende epost.

3. Oppgrader alle message transfer agents (MTA) – enten programvare eller maskinvarebaserte enheter – slik at de støtter DKIM. MTAer er den siste delen i et meldingssystem som berører den utgående eposten. Det er her DKIM-signaturerene legges til.

Ifølge ekspertene er det punkt nr. 1 som er vanskeligst. De største utfordringene er dermed ikke av teknisk art, men mer operasjonelle og prosedyremessige. Det er å vite hvem som kan sende epost på dine vegne, samt å administrere dette.

Store bedrifter må oppgradere mange maskinvarebaserte epost-enheter for å støtte DKIM. Men de fleste produsenter tilbyr DKIM som en plug-in eller tilleggsfunksjon som en del av en ny versjon av programvaren. Dette skal være en relativt triviell oppgave.