Tech
5 minutters læsning

Sådan undgår du at blive snydt over email

Mathias Givskov Hansen

Tech Lead

MCB's helt egen Tech Guru. Udover han kan løse selv de mest komplicerede koder, så mestrer han også alt inden for IT-sikkerhed.

Der findes desværre mange internetsnydere derude. Nogle af dem forsøger at finde sin vej til dine private oplysninger igennem emails. Det kaldes email spoofing. Lær hvordan du spotter svindlerne og øger din sikkerhed over email.

På gammeldags manér sendes papirbreve med en konvolut, hvorpå man skriver afsender og modtager - på den måde ved, man hvem brevet er fra og hvor det skal sendes til - for det meste. Der er nemlig intet, der forhindrer at skrive en anden afsender en sig selv på med det formål at få modtageren til at tro, at man er en anden. Det er i princippet muligt at snyde på den måde også med fysiske breve, men det får sjældent fatale konsekvenser.

Sagen er en anden i den digitale verden, hvor svindlen nemmere kan kamufleres på mange forskellige måder, som virker så ægte, at vi ikke ved, at vi er ved at blive snydt, før det er for sent.

Som man med brevet kan ændre afsenderen, kan man også ændre afsenderen af emails i den digitale verden. Her er tale om en email i stedet for et brev, og teknikken kaldes email spoofing. Det er en teknik, der er så snu, at det er svært at afkode faresignalerne.

De værste internetsvindlere kan finde på hvad som helst for at få fat i dine private oplysninger også i din ellers 'private' indbakke. Og det er på trods af, at der efterhånden er sat alverdens GDPR-regler op med det formål, at du selv kan styre, hvor dine data havner, og ikke mindst hvem der havner i din indbakke.

Og det er måske også derfor, at vi allerede nu har stor tillid til, at dem som rent faktisk finder vej til vores indbakke har gode intentioner, og at de er havnet der er af en grund, fordi vi selv har accepteret det. Med andre ord har vi en stærk tiltro til, at vi kender dem, som ender i vores email indbakke. Men med email spoofing har svindlerne fundet en måde at udnytte netop dén tiltro.

 

Hvad er email spoofing?

Email spoofing også kaldet email forfalskning er en email, hvor afsenderen udgiver sig for at være en anden med det formål at snyde fortrolige informationer ud af modtageren.

Det kan eksempelvis bruges til at få modtageren til at klikke på et link med malware, få brugeren til at hente malware via en vedhæftning, få modtager til at sende penge, få modtager til at skrive under på dokumenter/procedurer eller på anden måde fiske fortrolige oplysninger ud om vedkommende eller virksomheden. Til at forstå det bedre får du her et eksempel:

Lad os antage, at du er ansat i virksomheden med navnet "EksempelVirksomhed". Pludselig modtager du en mail fra en i virksomhedens "IT-Afdeling". I mailen skriver afsenderen, at du skal skifte din adgangskode til et system, du bruger. Og det eneste du skal gøre er at klikke på et link i mailen og derefter indtaste dine nuværende loginoplysninger.

Du har allerede lært og hørt utallige gange, at du skal tjekke om afsenderne nu er rigtig. Så det tjekker du selvfølgelig, og afsenderens email er "Jens (it@EksempelVirksomhed.dk)", hvilket ser valid ud. Derfor ser du måske ingen faresignaler, og du beslutter dig for at klikke på linket, og det ligner rigtigt nok loginsystemet til det system, du er blevet bedt om at skifte adgangskode til. I god tro følger du instruktionerne og logger ind med dine oplysninger og "skifter" adgangskode og forsætter ellers din arbejdsdag.

Men hvad du ikke ved er, at denne email ikke kom fra "Jens (it@EksempelVirksomhed.dk)", men fra en der udgav sig for at være Jens, og det link han sendte dig var en hjemmeside, der bare lignede det system, du plejer at bruge.

Så de loginoplysninger du tastede ind på den falske hjemmeside, er nu havnet i de forkerte hænder. Den falske Jens kan nu logge ind som dig i det rigtige system. Dét er selvfølgelig et stort problem i sig selv, men det er kun endnu værre, hvis du, som så mange andre, ikke bruger forskellige adgangskoder til forskellige systemer. Hvis du bruger den samme adgangskode til mange systemer, så har denne Jens nu også login til disse. Og så er der for alvor fare på færde. 

Alt dette skete fordi du af gode grunde stolte på, at det var rigtig kollega fra IT-afdelingen, der bad dig om at skifte adgangskode. Men det var desværre ikke tilfældet. I stedet var der tale om email spoofing.

 

Sådan kan email spoofing se ud

De personer, som virkelig er interesseret i at snyde kan forholdsvist nemt opsætte falske emails.

Det er desværre relativ nemt at sende en email, der ser ud til at komme fra en valid afsender. Præcis som på et fysisk brev kan man på en emails "konvolut" skrive en anden afsender end den, man er. 

Her er et eksempel på, hvordan en mail fra en falsk email kan se ud i din indbakke.

email-spoofing


Umiddelbart ligner det rigtig nok en mail fra Jens i IT-afdelingen, og man kan derfor hurtigt tro, at mailen er valid og straks have tiltro til at gøre det, mailen beder om.

Med de rigtige indstillinger kan du også se på billedet, at den rent faktisk ender i spam. Men det er ikke er ensbetydende, at du er sikret. I dette tilfælde er der sat forhindringer der gør, at mailen ender i spam indbakken, men alligevel ikke nok forhindringer til, at den overhovedet ender i en af dine indbakker. 

 

Hvordan kan du undgå snydemails?

Lige præcis ovenstående eksempel kunne være undgået på mange måder. Man kunne tjekke om adressen på linket er det samme som linket i det rigtige system. Hvis systemet understøtter multifaktorgodkendelse, ville det være sværere for falske Jens at snyde sig igennem. Der findes heldigvis måder, hvorpå man kan undgå at blive udsat for email spoofing.

Det allerbedste ville naturligvis være, at du aldrig havde modtaget denne mail, eller at den var havnet i din spam indbakke. I hvert fald ville det være bedst, hvis din mail indbakke i det mindste kunne signalere, at mailen var falsk eller på anden måde farlig. Det ville allerede fra start give dig de nødvendige faresignaler, og  måske få dig til at gå forbi IT-afdelingen, før du begynder at gøre noget af det, mailen beder dig om.

Men du kan faktisk sikre dig og sørge for, at din mail indbakke giver dig advarsler om mistænkelige og farlige mails.

Det kan lade sig gøre med en kombination af teknologierne SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail) sammen med DMARC (Domain-based Message Authentication, Reporting and Conformance).

Hvis du er i tvivl om, hvorvidt det allerede er sat op for dit domæne, og om du allerede har den nødvendige beskyttelse, så kan du tjekke det her.

Herunder kan du se, at vores eksempel fra tidligere med 'EksempelVirksomhed.dk' på ingen måde er beskyttet med disse teknologier:

domæne-tjek-email-spoofing


Hvad er SPF (Sender Policy Framework)?

SPFs formål er at verificere, om en email er valid eller spam. Det fungerer ved, at modtagerens mailserver tjekker, om det domæne som afsender hævder at sende fra indeholder en SPF record i ens domæne opsætning (DNS).

SPF indeholder oplysninger om, hvilke servere der må sendes email fra dit domæne af. Da falske Jens ikke har kontrol over din emailserver eller din emailudbyders server, så kan han ikke uden videre få mails ind i din indbakke som "kommer fra" dit domæne uden, at det vil bliver markeret som spam eller slet ikke rammer din indbakke.

Når du har sat SPF op, er du lidt mere sikker, men du kan faktisk gøre endnu mere ved at bruge DKIM.

Hvad er DKIM (DomainKeys Identified Mail) og DMARC (Domain-based Message Authentication, Reporting and Conformance)?
DKIM og DMARC gør det muligt for afsender at tage ansvar for de mails, som han/hun sender. Det gøres ved, at den mail som du afsender indeholder en krypteret digital signatur, som kun du kender til. Når der så er en, der modtager din email med denne digitale signatur, så kigger den på din domæne opsætning (DNS) og kan derfra hente en nøgle til at dekryptere den digitale signatur. Hvis den ikke kunne dekrypteres, vil mailen ikke ramme din indbakke og svindelsnummeret forpurres.

 

Kontakt os nu