Søg

Storbank undlod billig beskyttelse mod phishing

Danske Bank kunne med billig teknik have forhindret modtagelsen af størstedelen af phishingmails, siger sikkerhedsfirma.

30. september 2009 kl. 09.00
Artikel top billede
Rune Pedersen Rune Pedersen

Læs også: Danske Bank går til kamp mod phishing

Danmarks største bank, Danske Bank, blev mandag misbrugt i et phishingforsøg for anden gang inden for kort tid.

Bagmændene forsøgte på et særdeles velskrevet dansk at aflure bankens kunder oplysninger om deres betalingskort.

Imidlertid kunne langt størstedelen af disse phishingmails være undgået, hvis banken ligesom en række konkurrenter havde benyttet såkaldt SPF-information (Sender Policy Framework), som gør modtageren af en mail i stand til at kontrollere, om afsenderen af en mail er den ægte afsender.

Det fortæller flere sikkerhedsfirmaer til Computerworld.

På plads i Nordea og Sydbank

Mens eksempelvis Nordea og Sydbank benytter SPF, har både Danske Bank og PBS, som i løbet af den sidste uge er blevet ramt af de hidtil mest målrettede phishingforsøg i Danmark, undladt at benytte den eksisterende fælles standard.

SPF gør det ellers med simple midler hos virksomhederne muligt for modtagere af mails at sortere eksempelvis falske mails fra pengeinstitutter fra i deres indbakke ved hjælp af et spamfilter.

Uden brug af SPF overlades ansvaret for at identificere farlige phishingmails til den almindelige computerbruger. Og det er forkert, mener Steen Pedersen, som er Security Business Manager hos Atea.

"Med SPF ligger man noget af ansvaret og muligheden for at stoppe disse phishingmails over til de virksomheder der er potentielle ofre for phishingmails, i forhold til at lægge hele ansvaret hos modtagerne," siger Steen Pedersen.

Sender Policy Framework er informationer, som tilføjes DNS-systemet (Domain Name Service), der fungerer som en slags telefonbog for internettets servere og computere.

Standarden indeholder informationer, som ved at sammenligne ip-adresser og domænenavne gør det muligt for antispam-funktioner i modtagerernes mailsystemer at kontrollere, om en påstået afsenderadresse som eksempelvis DanskeBank.dk kommer fra de ip-adresser, som Danske Bank har angivet som ægte.

Ved at bruge SPF får virksomheder, som kan risikere at få misbrugt deres navn i et phishing-angreb, mulighed for at hjælpe modtagere af de falske mails med at frasortere dem automatisk.

"90 procent af alle spamfiltre, som er i brug i Danmark, eller i verden for den sags skyld, har mulighed for at identificere disse SPF-informationer," siger Steen Pedersen

Således benytter både Gmail, Hotmail og telefonselskabernes gratis mailsystemer til internetkunder SPF-informationerne til at sortere spam og phishing-mails fra, inden de havner i kundernes mail-indbakker.

"Alle, der kører deres private mail gennem en almindelig internetudbyder, har muligheden for at få deres mail tjekket for SPF-informationer i udbyderens spamfilter," siger Steen Pedersen.

Billigt og nemt

Eftersom SPF er en del af det globale DNS-system er det hverken dyrt, indviklet eller langsommeligt for eksempelvis Danske Bank at kunne forhindre modtagelsen af omkring 80 af de udsendte phishingmails fra ukendte bagmænd, vurderer Steen Pedersen.

"Det er ikke dyrt, og specielt ikke for Danske Bank. Det svarer til, at du skal skrive dit mobilnummer i telefonbogen. De skal blot registrere informationerne det rigtige sted. Det koster ingenting udover få timers arbejde," siger Steen Pedersen.

Han vurderer, at Danske Bank og PBS ved at benytte SPF kunne have reduceret antallet af telefonopkald fra bekymrede kunder betragteligt.

"Selve den tid, der skal bruges på at lave det her, den er så lille i forhold til den gevinst, som Danske Bank og andre virksomheder som er potentielle "ofre" for phishing, kan få efterfølgende," siger Steen Pedersen.

Kan ikke undgå phishingmails

Hos Commendo fortæller marketingchef Chris Østergaard, at SPF-systemet kan benyttes til at undgå phishing-mails.

Men systemet er ikke perfekt, fordi det ikke er alle virksomheder, som benytter teknologien.

"Bagsiden er jo, at hvis ikke alle er med, hvis det ikke er opdateret, og hvis ikke alle bruger det, så nytter det ikke noget," siger Chris Østergaard, der understreger værdien af information om sund fornuft til computerbrugerne.

Åben standard

SPF er ifølge Steen Pedersen fra Atea en åben standard, som er tilgængelig for alle.

Både Microsoft, Google og andre store virksomheder underbygger således teknologien, som har flere hundrede tusinde virksomheder registreret som brugere.

"Det er en åben standard, ligesom SMTP. Det er ikke proprietært, der er ikke nogen, der ejer det. Det koster kun tid til registrering af SPF-informationer i DNS," siger Steen Pedersen.

Læs også: Danske Bank går til kamp mod phishing

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Strategisk It-sikkerhedsdag 2026 - København

    Event: Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    20. januar 2026 | Gratis deltagelse

    Capgemini Danmark A/S

    Management Consultant

    Københavnsområdet

    KMD A/S

    Product Owner

    Midtjylland

    TV2

    Kompetenceleder til Data-området i TV 2

    Fyn

    Capgemini Danmark A/S

    IGNITE Graduate Program 2026

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

    Rasmus Stage Sørensen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Alexander Bendix som Consultant. Han skal især beskæftige sig med tilføre nye, friske perspektiver og værdifuld viden til NORRIQS Data & AI-afdeling. Nyt job

    Alexander Bendix

    Norriq Danmark A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Netip A/S har pr. 1. november 2025 ansat Kristian Kveiborg Yde som BI-konsulent ved netIP's kontor i Thisted. Han er uddannet med en Cand.merc. i økonomistyring. Nyt job

    Kristian Kveiborg Yde

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Hackerangreb rammer dansk a-kasse med 86.000 medlemmer: Cpr-numre og personlige oplysninger i fare for misbrug
    2 En af Danmarks første store it-iværksættere er død: Byggede stor computerfabrik i Ballerup og leverede teknologi til F16-fly
    3 Netcompany og NNIT vinder kæmpeopgaver: Skal løse centrale it-opgaver i staten for op mod 365 millioner kroner
    4 Dansk pensionskæmpe køber op i hemmelighedsfuld it-komet fra Aalborg
    5 Vil du have fuldt udbytte af AI, så skal du lære dette nye begreb
    6 Apple får stor bøde på grund af særlig privacy-feature på iPhone
    7 Flygiganten Airbus vil flytte sin kritiske it-systemer til en suveræn europæisk cloud: På vej med stort udbud
    8 Vil publicere millioner af hackede sange fra Spotify: Enhver vil kunne lave sin egen version af musiktjenesten, advarer eksperter

    Se seneste uge