BIMI

BIMI jako tarcza antyphishingowa

Natalia Zacholska, 9 lutego 2022

bimi-antiphishing

Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje kanały dystrybucji, przenosząc tym samym całkowicie (bądź sporą część) swojej działalności do Internetu. Spowodowało to, że phishing stał się jedną z najbardziej powszechnych form cyberprzestępczości.

Dziś to nie tylko fałszywe strony internetowe – choć głównie o nich słyszymy w kontekście ostatnich prób podszycia się pod największe polskie banki. Phishing to także nieuczciwe wysyłanie wiadomości E-mail pod przykrywką znanych i renomowanych marek w celu nakłonienia do udostępnienia informacji osobistych, takich jak używane hasła czy dane bankowe – np. numer karty kredytowej. Najprostszym przykładem próby tego typu oszustwa są dobrze nam znane wiadomości z prośbą o wykonanie pilnego przelewu, będącego niezbędną opłatą w celu przekazania nam spadku od zagranicznego księcia. Zapewne większość z nas uśmiechając się pod nosem zapewni że nigdy nie nabrałoby się na tego typu E-mail. Należy mieć jednak świadomość, że obecne formy phishingu są zdecydowanie lepiej przygotowane i trudniejsze do wykrycia – wielokrotnie przypominając 1:1 komunikację prawdziwych marek, co powoduje że tak łatwo paść ich ofiarą. To już nie te czasy, gdy wystarczyło spojrzeć na treść wiadomości, aby na pierwszy rzut oka rozpoznać próbę oszustwa z uwagi na słabo przygotowaną kreację z „rozsypanymi” elementami HTML.

Od czego zaczyna się phishing mailowy?

Adres skrzynki elektronicznej to jedna z najłatwiejszych do zdobycia informacji, którą można znaleźć na temat drugiej osoby. Każdy z nas wielokrotnie używał go do zapisania się do subskrypcji newslettera, założenia konta w serwisie internetowym, realizacji zakupu online czy wysłania CV. Wraz z wejściem w życie rozporządzenia RODO nabyliśmy wiele praw, dzięki którym możliwe jest uzyskanie informacji w jaki sposób ktoś wszedł w posiadanie naszych danych i jak są one przetwarzane, co daje nam większą kontrolę nad ich wykorzystaniem. Nie każdy jest jednak świadomy, że poprzez różne ataki hackerskie, bazy danych mogą zostać wykradzione, a po ich wycieku – nielegalnie sprzedane. Darknet jest pełen ofert dotyczących sprzedaży poufnych informacji pochodzących z włamań do systemów informatycznych. Warto od czasu do czasu sprawdzić czy nasz adres mailowy nie brał udziału w incydencie bezpieczeństwa i ujawnieniu danych – można to zrobić np. za pośrednictwem strony Have I Been Pwned.

Sprawdzaj otrzymaną wiadomość mailową

Co zrobić jeżeli już otrzymaliśmy podejrzanego maila? Istnieje wiele możliwości sprawdzenia czy otrzymana przez nas wiadomość nie jest próbą oszustwa:

  • Nadawca: zweryfikuj czy adres mailowy jest wiarygodny i powiązany z organizacją, która realizuje wysyłkę oraz czy sama nazwa nadawcy wygląda na prawdziwą.
  • Odbiorca: oceń w jakim stopniu spersonalizowana jest wiadomość – czy użyto Twojego imienia, czy zamiast tego mail kierowany jest do „Przyjaciela”, „Cenionego współpracownika” itp.
  • Treść: sprawdź czy jest poprawna gramatycznie (a może brzmi jak automatycznie przetłumaczona?), czy nie zawiera literówek oraz czy użyto polskich znaków jak „ą” czy „ł”. Fałszywe maile zawierają często również sformułowania zachęcające do szybkiego podjęcia akcji np. „pilnie zmień hasło”, „kliknij tutaj natychmiast” i kierujące na podejrzane linki.

phishing-example

Bardziej zaawansowaną metodą weryfikacji wiarygodności otrzymanej wiadomości jest sprawdzenie jej nagłówka, co pozwala potwierdzić rzeczywistego nadawcę maila oraz ocenić czy jest on odpowiednio uwierzytelniony poprzez SPF, DKIM i DMARC.

Skrzynki mailowe często automatycznie przenoszą wiadomości, które nie przejdą walidacji powyższych protokołów do folderu SPAM, ale wiele z nich trafia nadal do innych zakładek z uwagi na ustawienie mniej restrykcyjnej polityki ich działania. Należy pamiętać, że do tej pory to DMARC stanowił najwyższy poziom zabezpieczenia domeny – jedyny, który (dzięki przekazywanym raportom) pozwalał na weryfikację kto jeszcze realizuje wysyłki za pośrednictwem naszej domeny, alarmując tym samym o próbie oszustwa. Niemniej obecnie w celu podszycia się pod nadawcę bardzo często wykorzystuje się łudząco podobne nazwy domen – przestawienie liter czy zastąpienie jednej z nich innym znakiem, powoduje, że trudno je odróżnić.

Wiele marek postawiło pomóc „zwykłemu” odbiorcy odróżnić prawdziwe maile od tych podrobionych. Powstają w tym celu bardzo ciekawe artykuły, podcasty czy webinary. Niestety, mimo poświęconej energii i zaangażowaniu w prowadzone kampanie edukacyjne, informacje dotyczące phishingu docierają wyłącznie do wąskiej grupy odbiorców.

Branża e-commerce od dłuższego czasu zastanawiała się więc nad rozwiązaniem pozwalającym już na pierwszy rzut oka rozpoznać zaufanego, zweryfikowanego nadawcę, który odpowiednio zabezpieczył swoją domenę – nie każdy odbiorca wczytuje się bowiem w szczegółowe informacje zawarte w nagłówku. Odpowiedzią na to zapotrzebowanie stało się BIMI.

Czym właściwie jest BIMI?

To akronim od angielskiego Brand Indicators for Message Identification, opisujący nowy standard zabezpieczeń, który umożliwia wyświetlanie logo nadawcy w wiadomościach mailowych. Aby przystąpić do jego wdrożenia, w pierwszej kolejności należy zadbać o odpowiednie uwierzytelnienie domeny wysyłkowej za pośrednictwem SPF, DKIM i DMARC. Co ważne – jeśli chodzi o ten ostatni protokół – koniecznym warunkiem jest ustawienie restrykcyjnej polityki (quarantine lub reject), która określa co zrobić w przypadku, gdy E-mail nie przejdzie kontroli zarówno SPF jak i DKIM. Wielu nadawców nadal korzysta z polityki none, która zapewnia zerowe egzekwowanie DMARC, lub nie ma go w ogóle ustawionego.

Na chwilę obecną BIMI jest wspierane wyłącznie przez Gmail (który wymaga dodatkowo certyfikatu VMC), Fastmail oraz Yahoo! Kilku innych providerów wyraziło chęć przystąpienia do programu, można więc przypuszczać że w krótkim czasie dołączą kolejni dostawcy skrzynek, a patrząc na przewidywania marketerów i opisywane przez nich trendy na 2022 rok – ma on szansę stać się niezwykle popularnym standardem.

Warto w tym miejscu podkreślić, że BIMI zapewnia kontrolę nad wykorzystaniem naszego zarejestrowanego znaku towarowego i pojawienie się logo w miejscu, nad którym nie do końca mieliśmy wcześniej kontrolę – w programie pocztowym, bezpośrednio obok nazwy nadawcy. Co prawda istnieją inne sposoby na dodanie znaku graficznego – jak rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Są to jednak rozwiązania, które mogą ulec zmianie czy wycofaniu w każdej chwili i przede wszystkim nie stanowią żadnego potwierdzenia wdrożenia zabezpieczeń i posiadania odpowiednich praw (jak Trademark) do danego logo.

Najważniejszą zaletą wdrożenia tego nowego standardu jest przede wszystkim umożliwienie odbiorcom łatwego sposobu na identyfikację, które maile na skrzynce są w pełni zabezpieczone. A skoro mowa o rozpoznawalności – pierwsze badania na zagranicznych rynkach wyraźnie wskazują, że odbiorcy dużo chętniej otwierają te wiadomości, które mają dołączone logo nadawcy, gdyż są oni bardziej skłonni im zaufać.

Posłuchaj naszego podcastu aby sprawdzić jak BIMI pomaga zwiększyć bezpieczeństwo i dostarczalność maili.

Podsumowanie

Biorąc pod uwagę, jak proste jest dla oszustów znalezienie i wykorzystanie adresów E-mail, należy podjąć odpowiednie środki ostrożności, tak by klienci czuli się bezpiecznie otwierając nasze wiadomości – które są przecież tak ważnym i skutecznym sposobem utrzymania z nimi stałych relacji. Decydując się na wdrożenie BIMI dajesz sygnał, że dbasz o bezpieczeństwo odbiorców, zapewniając najwyższy standard zabezpieczeń oraz ułatwiasz rozpoznanie bezpiecznego nadawcy. Nie ma potrzeby dodatkowego edukowania klientów w tej kwestii – zamiast podcastów, webinarów czy artykułów, które nie zawsze docierają do „przeciętnego” odbiorcy, wystarczy wskazać, że mail jest prawdziwy bo posiada zweryfikowane logo. Co ważne, takie działania mogą dodatkowo skutecznie „zniechęcać” potencjalnych oszustów do prób podszycia się pod Twoją markę, gdyż łatwo będzie odróżnić maile w pełni zabezpieczone dzięki wyróżniającym się certyfikowanym znakiem graficznym, od fałszywych wiadomości – bez BIMI. Dodatkową zaletą jest też większy współczynnik Otwarć, dzięki któremu możesz liczyć na zwiększoną konwersję.

Specjaliści z EmailLabs z chęcią pomogą Ci w jego implementacji, tak aby cały proces odbył się szybko i sprawnie.

Masz pytania? Skontaktuj się z naszym BOK.

Najczęściej czytane