Søg

Storbank undlod billig beskyttelse mod phishing

Danske Bank kunne med billig teknik have forhindret modtagelsen af størstedelen af phishingmails, siger sikkerhedsfirma.

30. september 2009 kl. 09.00
Artikel top billede
Rune Pedersen Rune Pedersen

Læs også: Danske Bank går til kamp mod phishing

Danmarks største bank, Danske Bank, blev mandag misbrugt i et phishingforsøg for anden gang inden for kort tid.

Bagmændene forsøgte på et særdeles velskrevet dansk at aflure bankens kunder oplysninger om deres betalingskort.

Imidlertid kunne langt størstedelen af disse phishingmails være undgået, hvis banken ligesom en række konkurrenter havde benyttet såkaldt SPF-information (Sender Policy Framework), som gør modtageren af en mail i stand til at kontrollere, om afsenderen af en mail er den ægte afsender.

Det fortæller flere sikkerhedsfirmaer til Computerworld.

På plads i Nordea og Sydbank

Mens eksempelvis Nordea og Sydbank benytter SPF, har både Danske Bank og PBS, som i løbet af den sidste uge er blevet ramt af de hidtil mest målrettede phishingforsøg i Danmark, undladt at benytte den eksisterende fælles standard.

SPF gør det ellers med simple midler hos virksomhederne muligt for modtagere af mails at sortere eksempelvis falske mails fra pengeinstitutter fra i deres indbakke ved hjælp af et spamfilter.

Uden brug af SPF overlades ansvaret for at identificere farlige phishingmails til den almindelige computerbruger. Og det er forkert, mener Steen Pedersen, som er Security Business Manager hos Atea.

"Med SPF ligger man noget af ansvaret og muligheden for at stoppe disse phishingmails over til de virksomheder der er potentielle ofre for phishingmails, i forhold til at lægge hele ansvaret hos modtagerne," siger Steen Pedersen.

Sender Policy Framework er informationer, som tilføjes DNS-systemet (Domain Name Service), der fungerer som en slags telefonbog for internettets servere og computere.

Standarden indeholder informationer, som ved at sammenligne ip-adresser og domænenavne gør det muligt for antispam-funktioner i modtagerernes mailsystemer at kontrollere, om en påstået afsenderadresse som eksempelvis DanskeBank.dk kommer fra de ip-adresser, som Danske Bank har angivet som ægte.

Ved at bruge SPF får virksomheder, som kan risikere at få misbrugt deres navn i et phishing-angreb, mulighed for at hjælpe modtagere af de falske mails med at frasortere dem automatisk.

"90 procent af alle spamfiltre, som er i brug i Danmark, eller i verden for den sags skyld, har mulighed for at identificere disse SPF-informationer," siger Steen Pedersen

Således benytter både Gmail, Hotmail og telefonselskabernes gratis mailsystemer til internetkunder SPF-informationerne til at sortere spam og phishing-mails fra, inden de havner i kundernes mail-indbakker.

"Alle, der kører deres private mail gennem en almindelig internetudbyder, har muligheden for at få deres mail tjekket for SPF-informationer i udbyderens spamfilter," siger Steen Pedersen.

Billigt og nemt

Eftersom SPF er en del af det globale DNS-system er det hverken dyrt, indviklet eller langsommeligt for eksempelvis Danske Bank at kunne forhindre modtagelsen af omkring 80 af de udsendte phishingmails fra ukendte bagmænd, vurderer Steen Pedersen.

"Det er ikke dyrt, og specielt ikke for Danske Bank. Det svarer til, at du skal skrive dit mobilnummer i telefonbogen. De skal blot registrere informationerne det rigtige sted. Det koster ingenting udover få timers arbejde," siger Steen Pedersen.

Han vurderer, at Danske Bank og PBS ved at benytte SPF kunne have reduceret antallet af telefonopkald fra bekymrede kunder betragteligt.

"Selve den tid, der skal bruges på at lave det her, den er så lille i forhold til den gevinst, som Danske Bank og andre virksomheder som er potentielle "ofre" for phishing, kan få efterfølgende," siger Steen Pedersen.

Kan ikke undgå phishingmails

Hos Commendo fortæller marketingchef Chris Østergaard, at SPF-systemet kan benyttes til at undgå phishing-mails.

Men systemet er ikke perfekt, fordi det ikke er alle virksomheder, som benytter teknologien.

"Bagsiden er jo, at hvis ikke alle er med, hvis det ikke er opdateret, og hvis ikke alle bruger det, så nytter det ikke noget," siger Chris Østergaard, der understreger værdien af information om sund fornuft til computerbrugerne.

Åben standard

SPF er ifølge Steen Pedersen fra Atea en åben standard, som er tilgængelig for alle.

Både Microsoft, Google og andre store virksomheder underbygger således teknologien, som har flere hundrede tusinde virksomheder registreret som brugere.

"Det er en åben standard, ligesom SMTP. Det er ikke proprietært, der er ikke nogen, der ejer det. Det koster kun tid til registrering af SPF-informationer i DNS," siger Steen Pedersen.

Læs også: Danske Bank går til kamp mod phishing

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Platform X 2026: Forretning, teknologi og transformation

    Event: Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2026 | Gratis deltagelse

    TV2

    Erfaren Software engineer til Content Metadata i TV 2

    Fyn

    Det Kongelige Danske Kunstakademis Skoler

    IT-konsulent til forskerstøtte søges til Det Kongelige Akademi - Arkitektur, Design, Konservering

    Københavnsområdet

    Digitaliseringsstyrelsen

    Vil du sætte dit præg på videreudviklingen af MitID?

    Københavnsområdet

    Digitaliseringsstyrelsen

    Senior it-arkitekt til fællesoffentlig digital arkitektur

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    netIP har pr. 20. januar 2026 ansat Kennet Svane Christensen som IT Supporter ved netIP's kontor i Thisted. Han skal især beskæftige sig med opgaver i Datacenteret, hvor han vil få sin base i størstedelen af sin læretid. Nyt job

    Kennet Svane Christensen

    netIP

    Immeo har pr. 1. marts 2026 ansat Theo Lyngaa Hansen som Consultant. Han kommer fra en stilling som Data Manager hos IDA. Han er uddannet i Business Administration & Data Science. Nyt job

    Theo Lyngaa Hansen

    Immeo

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Her er Apples planer med CarPlay Ultra: Disse bilmærker får det
    2 Blev i al stilhed stiftet for blot fire måneder siden: Nu er selskabet 26 milliarder kroner værd - investorer står i kø for at komme med
    3 Microsoft udsender akut nød-opdatering efter store problemer
    4 Langt fra offentlighedens opmærksomhed er kommunerne i gang med en af deres største it-opgaver nogensinde
    5 Brit har forsket i datacentre i årevis: De er meget mere farlige, end vi tror
    6 Ny kinesisk AI giver AI-tjenesterne kamp til stregen: Kan køre kvit og frit på din egen pc
    7 Test: Disse små højttalere smider lækker lyd ud i stuen - men du får også lov til at betale
    8 Dansk advokatfirma slipper AI-agenterne løs på alle sager: “Vi er i en gammel, doven branche”

    Se seneste uge