»Du har corona, kammerat«: Så let kan svindlere sende mails fra sundhedsvæsenet

Read the full article on Version2 here.

»It-kriminelle kan alt for let udgive sig for at være en række sundhedsmyndigheder og udnytte troværdige domæner til corona-relaterede phishing-angreb, fordi myndighederne mangler at implementere basal mail-sikkerhed. Det er ikke godt nok, lyder det fra eksperter.

En mail fra sundhed.dk tikker ind i din hovedindbakke. Du har været i tæt kontakt med en coronasmittet, og du skal omgående gå i isolation og booke en PCR-test, lyder det. Mailen indeholder et link. »Klik her for at booke en akut PCR-test,« står der. Vil du klikke på linket?

Eksemplet er opdigtet, men hullet er ægte nok.

Sundhedsdomæner som sundhed.dk og regionh.dk, rsyd.dk og regionmidtjylland.dk står nemlig vidtåbne for misbrug til spam og phishing, enten fordi domænerne har en for mild DMARC-politik eller slet ikke bruger DMARC.

Det er især et problem under coronakrisen, fordi borgere er mere opmærksomme på sundhedsmyndighederne, end de normalt er, lyder det fra en professor og en sikkerhedsrådgiver.

»Særligt i de her coronatider optager sundhed os rigtig meget. Så hvis der kommer en mail, der ser ud til at komme fra sundhed.dk, så vil man være tilbøjelig til at klikke på den - og man vil være tilbøjelig til at gøre det hurtigt, hvis der for eksempel står, at man har været sammen med en covid-19-smittet, og man skal klikke på et link for at tjekke, om man selv skal tage en test,« siger Jens Myrup Pedersen, som er professor i cybersikkerhed på Aalborg Universitet.

Det er Claus Vesthammer, som er sikkerhedsrådgiver og COO i virksomheden Improsec, enig i.

»Det er problematisk, uanset hvilke virksomhed du er. Men hvis jeg som angriber skal få en borger til at klikke på linket i en mail, så skal jeg have en troværdig historie. Det er nemmere at lave en troværdig historie i disse tider, fordi jeg kan lave den med covid-19. Og så vil sandsynligheden for, at modtageren klikker på den, være meget højere,« siger han.

»Du færdig, kammerat«

Ifølge Claus Vesthammer er det teknisk nemt at sende mails fra domæner, der ikke har en restriktiv DMARC-politik.

»Det tager ingen tid at sætte sende en falsk e-mail den slags op, når domænerne ikke er DMARC-beskyttede. Alle kan udgive sig for at være alle,« siger han.

Version2 har fået hjælp af en studerende i cybersikkerhed til at udvikle et proof-of-concept for at vise, hvor nemt det er at bruge sundhedsmyndighedernes domæner til at sende en mail til en almindelig borger.

»Du har corona. Du færdig, kammerat,« lyder en mail fra den opdigtede adresse soren@sundhed.dk for eksempel.

Den studerende kunne nemt og på kort tid spoofe domænerne sundhed.dk, regionh.dk, rm.dk, regionmidtjylland.dk, rsyd.dk og regionsyddanmark.dk - men med nogle forbehold.

Sendte han mails fra domænerne til sin egen Google-mail, røg de direkte i hovedindbakken, men kun så længe han ikke ændrede emnefeltet fra et almindeligt tidsstempel. Ændrede han emnefeltet til noget andet, blev mailsene afvist. Og tilføjede han HTML i mailens indhold - eksempelvis et skjult link - røg mailen i spam.

Sendte han i stedet mails fra domænerne til sin Outlook-mail, røg mailsene altid i spam, uanset om han ændrede i emnefeltet eller tilføjede HTML til mailens indhold.

Claus Vesthammer fra Improsec mener, at hackere kan bruge sundhedsdomænerne til at skabe troværdighed i phishing-mails og dermed øge succesraten for, at de kan lokke oplysninger ud af autoritetstro borgere. Derfor er det vigtigt at opsætte en streng DMARC-politik.

»DMARC er måske ikke så simpelt at få sat op, men det er meget effektivt. Du beskytter dit brand og din virksomhed mod at blive udnyttet af andre. Angriberne rider på et navn og et brand, som modtagerne kender, og det kan man som angriber bruge til at skabe denne her troværdige mailkorrespondance, hvor der er en høj sandsynlighed for, at nogen klikker,« siger han.

<…>