Søg

Storbank undlod billig beskyttelse mod phishing

Danske Bank kunne med billig teknik have forhindret modtagelsen af størstedelen af phishingmails, siger sikkerhedsfirma.

30. september 2009 kl. 09.00
Artikel top billede
Rune Pedersen Rune Pedersen

Læs også: Danske Bank går til kamp mod phishing

Danmarks største bank, Danske Bank, blev mandag misbrugt i et phishingforsøg for anden gang inden for kort tid.

Bagmændene forsøgte på et særdeles velskrevet dansk at aflure bankens kunder oplysninger om deres betalingskort.

Imidlertid kunne langt størstedelen af disse phishingmails være undgået, hvis banken ligesom en række konkurrenter havde benyttet såkaldt SPF-information (Sender Policy Framework), som gør modtageren af en mail i stand til at kontrollere, om afsenderen af en mail er den ægte afsender.

Det fortæller flere sikkerhedsfirmaer til Computerworld.

På plads i Nordea og Sydbank

Mens eksempelvis Nordea og Sydbank benytter SPF, har både Danske Bank og PBS, som i løbet af den sidste uge er blevet ramt af de hidtil mest målrettede phishingforsøg i Danmark, undladt at benytte den eksisterende fælles standard.

SPF gør det ellers med simple midler hos virksomhederne muligt for modtagere af mails at sortere eksempelvis falske mails fra pengeinstitutter fra i deres indbakke ved hjælp af et spamfilter.

Uden brug af SPF overlades ansvaret for at identificere farlige phishingmails til den almindelige computerbruger. Og det er forkert, mener Steen Pedersen, som er Security Business Manager hos Atea.

"Med SPF ligger man noget af ansvaret og muligheden for at stoppe disse phishingmails over til de virksomheder der er potentielle ofre for phishingmails, i forhold til at lægge hele ansvaret hos modtagerne," siger Steen Pedersen.

Sender Policy Framework er informationer, som tilføjes DNS-systemet (Domain Name Service), der fungerer som en slags telefonbog for internettets servere og computere.

Standarden indeholder informationer, som ved at sammenligne ip-adresser og domænenavne gør det muligt for antispam-funktioner i modtagerernes mailsystemer at kontrollere, om en påstået afsenderadresse som eksempelvis DanskeBank.dk kommer fra de ip-adresser, som Danske Bank har angivet som ægte.

Ved at bruge SPF får virksomheder, som kan risikere at få misbrugt deres navn i et phishing-angreb, mulighed for at hjælpe modtagere af de falske mails med at frasortere dem automatisk.

"90 procent af alle spamfiltre, som er i brug i Danmark, eller i verden for den sags skyld, har mulighed for at identificere disse SPF-informationer," siger Steen Pedersen

Således benytter både Gmail, Hotmail og telefonselskabernes gratis mailsystemer til internetkunder SPF-informationerne til at sortere spam og phishing-mails fra, inden de havner i kundernes mail-indbakker.

"Alle, der kører deres private mail gennem en almindelig internetudbyder, har muligheden for at få deres mail tjekket for SPF-informationer i udbyderens spamfilter," siger Steen Pedersen.

Billigt og nemt

Eftersom SPF er en del af det globale DNS-system er det hverken dyrt, indviklet eller langsommeligt for eksempelvis Danske Bank at kunne forhindre modtagelsen af omkring 80 af de udsendte phishingmails fra ukendte bagmænd, vurderer Steen Pedersen.

"Det er ikke dyrt, og specielt ikke for Danske Bank. Det svarer til, at du skal skrive dit mobilnummer i telefonbogen. De skal blot registrere informationerne det rigtige sted. Det koster ingenting udover få timers arbejde," siger Steen Pedersen.

Han vurderer, at Danske Bank og PBS ved at benytte SPF kunne have reduceret antallet af telefonopkald fra bekymrede kunder betragteligt.

"Selve den tid, der skal bruges på at lave det her, den er så lille i forhold til den gevinst, som Danske Bank og andre virksomheder som er potentielle "ofre" for phishing, kan få efterfølgende," siger Steen Pedersen.

Kan ikke undgå phishingmails

Hos Commendo fortæller marketingchef Chris Østergaard, at SPF-systemet kan benyttes til at undgå phishing-mails.

Men systemet er ikke perfekt, fordi det ikke er alle virksomheder, som benytter teknologien.

"Bagsiden er jo, at hvis ikke alle er med, hvis det ikke er opdateret, og hvis ikke alle bruger det, så nytter det ikke noget," siger Chris Østergaard, der understreger værdien af information om sund fornuft til computerbrugerne.

Åben standard

SPF er ifølge Steen Pedersen fra Atea en åben standard, som er tilgængelig for alle.

Både Microsoft, Google og andre store virksomheder underbygger således teknologien, som har flere hundrede tusinde virksomheder registreret som brugere.

"Det er en åben standard, ligesom SMTP. Det er ikke proprietært, der er ikke nogen, der ejer det. Det koster kun tid til registrering af SPF-informationer i DNS," siger Steen Pedersen.

Læs også: Danske Bank går til kamp mod phishing

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Everllence

    Software Engineer – Build the toolchain behind the engines that move the world

    Københavnsområdet

    Allerød Kommune

    Digitaliseringschef

    Københavnsområdet

    Netcompany A/S

    Operations Engineer til drift af Infrastruktur

    Københavnsområdet

    Region Midtjylland

    Koordinator til M365‑teamet – bliv vores samlende bindeled mellem forretning, drift og udvikling

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Netip A/S har pr. 1. marts 2026 ansat Maria Lyng Refslund som Marketing Project Manager ved netIP Herning. Hun kommer fra en stilling som Marketing Project Manager hos itm8. Nyt job

    Maria Lyng Refslund

    Netip A/S

    Immeo har pr. 1. maj 2026 ansat Peter Lorenz Nellemann som Senior Manager. Han kommer fra en stilling som Senior Strategy Manager hos Pentia. Han er uddannet i Software Engineering. Nyt job

    Peter Lorenz Nellemann

    Immeo

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Thorborg dropper omstridt AI-funktion: "Jeg skal ikke nyde noget af, at de kommer på besøg igen"
    2 Sådan får du din egen AI-maskine til rimelige penge
    3 Nørgaard: Først gik Nets ned, så gik EU i stå, og nu må hobbyavlere ikke engang lave vin i fred
    4 AI-topchefer var på vej til Det Hvide Hus, men efter telefonsamtaler med Musk og Zuckerberg skiftede Trump pludselig holdning
    5 Efter endnu et kæmpe Nets-nedbrud: Resiliens er noget vi har i Danmark - så længe alting virker
    6 Finanstilsynet kræver svar fra Nets: Nedbrud for anden gang på blot ti måneder
    7 Salget af Lenovo-pc'er eksploderer: Kunder køber ind med arme og ben af frygt for stigende priser
    8 Hvem har mest magt i it-Danmark? Nu åbner vi jagten på 2026-listen - har du et bud?

    Se seneste uge