Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje kanały dystrybucji, przenosząc tym samym całkowicie (bądź sporą część) swojej działalności do Internetu. Spowodowało to, że phishing stał się jedną z najbardziej powszechnych form cyberprzestępczości.
Dziś to nie tylko fałszywe strony internetowe – choć głównie o nich słyszymy w kontekście ostatnich prób podszycia się pod największe polskie banki. Phishing to także nieuczciwe wysyłanie wiadomości E-mail pod przykrywką znanych i renomowanych marek w celu nakłonienia do udostępnienia informacji osobistych, takich jak używane hasła czy dane bankowe – np. numer karty kredytowej. Najprostszym przykładem próby tego typu oszustwa są dobrze nam znane wiadomości z prośbą o wykonanie pilnego przelewu, będącego niezbędną opłatą w celu przekazania nam spadku od zagranicznego księcia. Zapewne większość z nas uśmiechając się pod nosem zapewni że nigdy nie nabrałoby się na tego typu E-mail. Należy mieć jednak świadomość, że obecne formy phishingu są zdecydowanie lepiej przygotowane i trudniejsze do wykrycia – wielokrotnie przypominając 1:1 komunikację prawdziwych marek, co powoduje że tak łatwo paść ich ofiarą. To już nie te czasy, gdy wystarczyło spojrzeć na treść wiadomości, aby na pierwszy rzut oka rozpoznać próbę oszustwa z uwagi na słabo przygotowaną kreację z „rozsypanymi” elementami HTML.
Adres skrzynki elektronicznej to jedna z najłatwiejszych do zdobycia informacji, którą można znaleźć na temat drugiej osoby. Każdy z nas wielokrotnie używał go do zapisania się do subskrypcji newslettera, założenia konta w serwisie internetowym, realizacji zakupu online czy wysłania CV. Wraz z wejściem w życie rozporządzenia RODO nabyliśmy wiele praw, dzięki którym możliwe jest uzyskanie informacji w jaki sposób ktoś wszedł w posiadanie naszych danych i jak są one przetwarzane, co daje nam większą kontrolę nad ich wykorzystaniem. Nie każdy jest jednak świadomy, że poprzez różne ataki hackerskie, bazy danych mogą zostać wykradzione, a po ich wycieku – nielegalnie sprzedane. Darknet jest pełen ofert dotyczących sprzedaży poufnych informacji pochodzących z włamań do systemów informatycznych. Warto od czasu do czasu sprawdzić czy nasz adres mailowy nie brał udziału w incydencie bezpieczeństwa i ujawnieniu danych – można to zrobić np. za pośrednictwem strony Have I Been Pwned.
Co zrobić jeżeli już otrzymaliśmy podejrzanego maila? Istnieje wiele możliwości sprawdzenia czy otrzymana przez nas wiadomość nie jest próbą oszustwa:
Bardziej zaawansowaną metodą weryfikacji wiarygodności otrzymanej wiadomości jest sprawdzenie jej nagłówka, co pozwala potwierdzić rzeczywistego nadawcę maila oraz ocenić czy jest on odpowiednio uwierzytelniony poprzez SPF, DKIM i DMARC.
Skrzynki mailowe często automatycznie przenoszą wiadomości, które nie przejdą walidacji powyższych protokołów do folderu SPAM, ale wiele z nich trafia nadal do innych zakładek z uwagi na ustawienie mniej restrykcyjnej polityki ich działania. Należy pamiętać, że do tej pory to DMARC stanowił najwyższy poziom zabezpieczenia domeny – jedyny, który (dzięki przekazywanym raportom) pozwalał na weryfikację kto jeszcze realizuje wysyłki za pośrednictwem naszej domeny, alarmując tym samym o próbie oszustwa. Niemniej obecnie w celu podszycia się pod nadawcę bardzo często wykorzystuje się łudząco podobne nazwy domen – przestawienie liter czy zastąpienie jednej z nich innym znakiem, powoduje, że trudno je odróżnić.
Wiele marek postawiło pomóc „zwykłemu” odbiorcy odróżnić prawdziwe maile od tych podrobionych. Powstają w tym celu bardzo ciekawe artykuły, podcasty czy webinary. Niestety, mimo poświęconej energii i zaangażowaniu w prowadzone kampanie edukacyjne, informacje dotyczące phishingu docierają wyłącznie do wąskiej grupy odbiorców.
Branża e-commerce od dłuższego czasu zastanawiała się więc nad rozwiązaniem pozwalającym już na pierwszy rzut oka rozpoznać zaufanego, zweryfikowanego nadawcę, który odpowiednio zabezpieczył swoją domenę – nie każdy odbiorca wczytuje się bowiem w szczegółowe informacje zawarte w nagłówku. Odpowiedzią na to zapotrzebowanie stało się BIMI.
To akronim od angielskiego Brand Indicators for Message Identification, opisujący nowy standard zabezpieczeń, który umożliwia wyświetlanie logo nadawcy w wiadomościach mailowych. Aby przystąpić do jego wdrożenia, w pierwszej kolejności należy zadbać o odpowiednie uwierzytelnienie domeny wysyłkowej za pośrednictwem SPF, DKIM i DMARC. Co ważne – jeśli chodzi o ten ostatni protokół – koniecznym warunkiem jest ustawienie restrykcyjnej polityki (quarantine lub reject), która określa co zrobić w przypadku, gdy E-mail nie przejdzie kontroli zarówno SPF jak i DKIM. Wielu nadawców nadal korzysta z polityki none, która zapewnia zerowe egzekwowanie DMARC, lub nie ma go w ogóle ustawionego.
Na chwilę obecną BIMI jest wspierane wyłącznie przez Gmail (który wymaga dodatkowo certyfikatu VMC), Fastmail oraz Yahoo! Kilku innych providerów wyraziło chęć przystąpienia do programu, można więc przypuszczać że w krótkim czasie dołączą kolejni dostawcy skrzynek, a patrząc na przewidywania marketerów i opisywane przez nich trendy na 2022 rok – ma on szansę stać się niezwykle popularnym standardem.
Warto w tym miejscu podkreślić, że BIMI zapewnia kontrolę nad wykorzystaniem naszego zarejestrowanego znaku towarowego i pojawienie się logo w miejscu, nad którym nie do końca mieliśmy wcześniej kontrolę – w programie pocztowym, bezpośrednio obok nazwy nadawcy. Co prawda istnieją inne sposoby na dodanie znaku graficznego – jak rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Są to jednak rozwiązania, które mogą ulec zmianie czy wycofaniu w każdej chwili i przede wszystkim nie stanowią żadnego potwierdzenia wdrożenia zabezpieczeń i posiadania odpowiednich praw (jak Trademark) do danego logo.
Najważniejszą zaletą wdrożenia tego nowego standardu jest przede wszystkim umożliwienie odbiorcom łatwego sposobu na identyfikację, które maile na skrzynce są w pełni zabezpieczone. A skoro mowa o rozpoznawalności – pierwsze badania na zagranicznych rynkach wyraźnie wskazują, że odbiorcy dużo chętniej otwierają te wiadomości, które mają dołączone logo nadawcy, gdyż są oni bardziej skłonni im zaufać.
Posłuchaj naszego podcastu aby sprawdzić jak BIMI pomaga zwiększyć bezpieczeństwo i dostarczalność maili.
Biorąc pod uwagę, jak proste jest dla oszustów znalezienie i wykorzystanie adresów E-mail, należy podjąć odpowiednie środki ostrożności, tak by klienci czuli się bezpiecznie otwierając nasze wiadomości – które są przecież tak ważnym i skutecznym sposobem utrzymania z nimi stałych relacji. Decydując się na wdrożenie BIMI dajesz sygnał, że dbasz o bezpieczeństwo odbiorców, zapewniając najwyższy standard zabezpieczeń oraz ułatwiasz rozpoznanie bezpiecznego nadawcy. Nie ma potrzeby dodatkowego edukowania klientów w tej kwestii – zamiast podcastów, webinarów czy artykułów, które nie zawsze docierają do „przeciętnego” odbiorcy, wystarczy wskazać, że mail jest prawdziwy bo posiada zweryfikowane logo. Co ważne, takie działania mogą dodatkowo skutecznie „zniechęcać” potencjalnych oszustów do prób podszycia się pod Twoją markę, gdyż łatwo będzie odróżnić maile w pełni zabezpieczone dzięki wyróżniającym się certyfikowanym znakiem graficznym, od fałszywych wiadomości – bez BIMI. Dodatkową zaletą jest też większy współczynnik Otwarć, dzięki któremu możesz liczyć na zwiększoną konwersję.
Specjaliści z EmailLabs z chęcią pomogą Ci w jego implementacji, tak aby cały proces odbył się szybko i sprawnie.
Masz pytania? Skontaktuj się z naszym BOK.
Niezależnie od tego, czy rozwijasz swój start-up czy prowadzisz dojrzały e-commerce, potrzebujesz rozwiązań wspierających komunikację z użytkownikami: tak transakcyjną, jak i marketingową. EmailLabs jest infrastrukturą do wysyłki różnych wiadomości...
Antyspam, Bezpieczeństwo, BIMI, Dobre praktyki, Nowe funkcje, Nowości
Organizacja AuthIndicators Working Group (BIMI Group) ogłosiła niedawno, że systemy Apple takie jak iOS 16, iPadOS 16 i macOS Ventura będą wspierać BIMI już od jesieni tego roku. Tym...
Dobre praktyki, Dostarczalność email, Maile transakcyjne
Aby komunikacja E-mail mogła przynosić efekty, musi być odpowiednio realizowana. Obok kwestii technicznych, bardzo ważne jest budowanie pozytywnego zaangażowania subskrybentów w komunikację E-mail. Obecnie każdego dnia konsumenci otrzymują liczne komunikaty...
Dobre praktyki, Pytania i odpowiedzi
ESP (ang. Email Service Provider) to usługa oparta na oprogramowaniu służącym do dystrybucji poczty elektronicznej, często w oparciu o własne serwery, zoptymalizowane pod kątem dużego (masowego) ruchu. Wiele z...
Dobre praktyki, Dostarczalność email
Czym jest dostarczalność wiadomości email? Rozmawiając z właścicielami sklepów eCommerce, specjalistami od marketingu lub czytając różne publikacje na temat komunikacji email coraz częściej można odnieść wrażenie, że wyłącznym kryterium...
Bezpieczeństwo, GDPR, Porównania
EOG a RODO W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje...
Dobre praktyki, Dostarczalność email
Jeżeli korzystasz z zewnętrznej infrastruktury serwerowej do obsługi wysyłek mailowych, istnieje bardzo duże prawdopodobieństwo, że maile po dotarciu do skrzynki odbiorcy będą zawierały informację o systemie wysyłkowym z którego...
Dobre praktyki, Dostarczalność email
Planujesz niezwykle interesującą kampanię promocyjną i newsletter zawierający wiele świetnych ofert? Przygotowując wiadomość mailową, pamiętaj o tym, że więcej nie zawsze oznacza lepiej. Wysyłając duże maile nie tylko spowodujesz,...