Det är lätt att skicka bluffmejl som ser ut att komma från svenska storföretag. En undersökning som säkerhetsföretaget Detectify gjort i samarbete med Computer Sweden visar att 60 av Sveriges 100 största företag saknar skydd mot så kallad mejlspoofning.

– Det innebär att vem som helst med lite teknisk kunskap kan skicka ett mejl som ser ut att komma från dig eller ditt företag, säger säkerhetsforskaren Linus Särud som gjort undersökningen.

Tänk dig att det ramlar in ett mejl som ser ut att komma från din chef. Där blir du ombedd att logga in på en ny webbportal, öppna en bifogad fil eller betala en faktura. Hur stor är risken att du precis lämnade ut dina inloggningsuppgifter, infekterade datorn med virus eller förde över tiotusentals kronor till en bedragare?

Läs också: Trots it-säkerhet för miljarder: Därför blir inte företagen säkrare

I vanliga fall är det ju ganska lätt att upptäcka ett bluffmejl som skickas från en konstig e-postadress, ändå kommer larm om hur myndigheter och företag fått sina it-system infekterade av ransomware för att anställda slarvat.

Men det går att stoppa mejlspoofning. E-post är ett gammalt system, där säkerhetsfunktioner lagts till med tiden. Två av dem kallas för spf och dmarc, och genom att använda dem rätt kan ett företag stoppa alla obehöriga från att skicka mejl i deras namn.

Så varför gör inte alla det?

– Du kommer att blockera alla mejl som kommer från företaget som inte går genom servrar du har specificerat. Som ett litet företag är det inte ett problem, du vet vilken server ni använder. På ett stort företag kan man använda massor av olika mejlservrar, säger Linus Särud.

Linus Särud
Foto: DetectifyLinus Särud.

Marknadsavdelningen använder kanske en extern tjänst som skickar nyhetsbrev, kontoret i England har en egen mejlserver och en outsourcad avdelning i Malmö en tredje. Listan blir snabbt längre, och varje server måste grönlistas, annars kommer mejlen inte fram.

Ett av företagen som är sårbara för mejlspoofning är försäkringsbolaget Skandia. När Computer Sweden kontaktar dem uppger Skandia att de kommer att stärka skyddet inom kort, men att de låtit bli på grund av omstruktureringar inom koncernen.

– Vi håller med om att det är något som bör åtgärdas och det ska vi också. Att vi inte gjort det har en koppling till ett antal större separationsprojekt som Skandia varit med om, då har man aktivt valt att avvakta med just den här inställningen som skulle kunnat medföra störningar för verksamheten, säger Susanne Öhrn som är it-säkerhetschef på Skandia.

Läs också: 700 miljarder på säkerhet – här lägger företagen sina pengar

Det skulle exempelvis kunnat stoppa externa parter som har lov att skicka mejl i Skandias namn.

Även Postnord, som ofta används som fingerad avsändare i bluffmejl, är sårbara.

De har inte aktiverat det vanligaste skyddet – spf inställt på hardfail – men funderar på att börja använda två andra kompletterande system, dkim och dmarc, som kan stoppa mejlspoofning.

”Postnord har behov av att utforma ett skydd anpassat för den egna verksamheten såväl som för partners. Att aktivera hardfail har tidigare resulterat i att mejl till vissa mottagare blockerats. Postnord arbetar aktivt för möjliga lösningar och ämnar utöka våra skydd genom att bland annat implementera både dkim och dmarc”, skriver företagets cio Björn Ekstedt i ett mejl till Computer Sweden.

Andra stora svenska företag som saknar skydd är SEB, Electrolux och EON, men de vill inte kommentera undersökningen. Även Stockholms läns landsting, SLL, är sårbara för mejlspoof men väljer att inte lämna någon kommentar.

Bland de 60 sårbara storföretaget finns också flera svenska telekombolag, industriföretag och statliga bolag.

Samtidigt fortsätter nätbedrägerierna att öka lavinartat i Sverige. I veckan har nyhetsbyrån TT rapporterat om att de ökat med 20 procent under första halvan av 2016 jämfört med samma period förra året.

I ljuset av det är det synd att företagen inte inför de skydd som finns att tillgå, menar Anne-Marie Eklund Löwinder som är säkerhetschef på Internetstiftelsen i Sverige, IIS. 

Anne-Marie Eklund Löwinder
Anne-Marie Eklund Löwinder.

– Det är tråkigt. Det finns etablerade metoder för att skydda sina kunder och partners från mejlspoofning och då tycker jag absolut att man ska använda dem. I synnerhet i tider som dessa när det pågår många bedrägerier, säger hon.

Läs också: Hemlighetsfull hackergrupp har riktat "Saurons öga" mot Sverige

Anne-Marie Eklund Löwinder tycker att företagen borde ha tillräckligt bra koll på sina mejlservrar för att införa de vanliga skydd som finns, och sköts mejltjänsten externt bör it-köparen ställa säkerhetskrav på leverantören.

– Risken är annars att man agerar på något man inte borde. Bland annat löper man risken för så kallade vd-bedrägerier. Där det kan se ut som vd:n skriver till ekonomichefen och ber ekonomichefen att betala massor av pengar. Och det är dyrt, vi har sett att företag förlorat stora summor, säger hon.

Fakta

Computer Sweden har valt ut de 100 största företagen i Sverige enligt Largestcompany.se och gjort en lista över vilken mejladress de angett som kontaktmejl på sin hemsida.

Sedan har säkerhetsföretaget Detectify undersökt om företagens e-postservrar använde sig av spf och dmarc, två system som kan stoppa obehöriga från att skicka mejl i företagets namn.

För att ett företag ska ha fullgott skydd anser Detectify att de antingen ska ha spf inställt på hardfail, alternativt spf inställt på softfail och dmarc på reject eller quarantine. Alla andra inställningar klassar Detectify som sårbara eftersom det är möjligt för någon utifrån att skicka mejl i företagets namn.

60 av företagen var sårbara, 31 av dessa använde enbart spf softfail medan resterande hade spf inställt på neutral eller saknade spf.