Sikkerhet nr. 3 / 2016
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
STADIG MER DIREKTØRSVINDEL: Fra noen få forsøk i fjor og i vinter økte antall CEOsvindler<br />
betraktelig i juni og juli, i følge tall fra Økokrim gjengitt i Aftenposten. Tallene viser<br />
bare de anmeldte sakene, og politiet antar at det er store mørketall. Nasjonal sikkerhetsmyndighet<br />
(NSM) ber virksomheter anmelde svindelforsøk og også rapportere dem til NSM<br />
NorCERT. Faksimile: Aftenposten 29. august <strong>2016</strong><br />
PIRATER PÅ FERDE: Vår obs på epost du<br />
får, også det som tilsynelatende er fra<br />
sjefen. Illustrasjon: Wax/Shutterstock.com<br />
eksempel begynne å bruke domener<br />
som likner på de reelle domenene.<br />
De benytter ofte domener som<br />
slutter på .com, .net og liknende i<br />
sted et for .no. Det er også ofte stavefeil<br />
i adressen, som nettsside.com og<br />
liknende.<br />
Rapportering<br />
NSM NorCERT anbefaler at organisasjoner<br />
som mottar slike svindelforsøk<br />
anmelder forholdet til politiet.<br />
Internasjonalt er det gjort flere<br />
arrestasjon er knyttet til slike svindler,<br />
og det virker til å være stadig flere<br />
grupper som driver med denne typen<br />
svindel.<br />
NSM NorCERT er også svært interessert<br />
i informasjon om den enkelte<br />
organisasjon har observert<br />
CEO-svindel. Vi er spesielt interessert<br />
i tekniske detaljer, som e-post<br />
med fulle headere. Dersom virksomheten<br />
har besvart svindlerne ønsker<br />
vi informasjon om hvor svindlerne<br />
ønsker pengene oversendt. Kontakt<br />
oss på norcert@cert.no ved eventuelle<br />
spørsmål eller om du ønsker å dele informasjon.<br />
•<br />
Ordliste<br />
Sender Policy Framework (SPF)<br />
viser hvilke IP-adresser som er<br />
godkjent for å sende epost på<br />
vegne av domenet, det vil si utgående<br />
epostservere.<br />
Domain Keys Identified Mail<br />
(DKIM) er kryptografisk signering<br />
av epost som sendes ut – både<br />
av innhold og enkelte headerelementer.<br />
Domain-based Message Authentication,<br />
Reporting and Conformance<br />
(DMARC) benytter SPF og DKIM,<br />
og gir mulighet til å sette policy<br />
basert på disse. Dette kan være å<br />
blokkere/sette i karantene/slippe<br />
gjennom, gitt at SPF og DKIM<br />
feiler, samt å gi tilbakemelding til<br />
eier av domenet hvilke IP-adresser<br />
som har sendt epost på vegne av<br />
domenet. DMARC kan dermed<br />
brukes som et verktøy for å justere<br />
eksempelvis SPF. DMARC kan også<br />
settes opp til å be om full kopi av<br />
eposter hvor SPF og DKIM feiler.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2016</strong> 55