Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje kanały dystrybucji, przenosząc tym samym całkowicie (bądź sporą część) swojej działalności do Internetu. Spowodowało to, że phishing stał się jedną z najbardziej powszechnych form cyberprzestępczości, przez co, firmy musiały zadbać o większe bezpieczeństwo między innymi na skrzynkach odbiorczych swoich pracowników.
Dziś to nie tylko fałszywe strony internetowe – choć głównie o nich słyszymy w kontekście ostatnich prób podszycia się pod największe polskie banki. Phishing to także nieuczciwe wysyłanie wiadomości E-mail pod przykrywką znanych i renomowanych marek w celu nakłonienia do udostępnienia informacji osobistych, takich jak używane hasła czy dane bankowe – np. numer karty kredytowej.
Sprawdź jak weryfikacja nadawcy mBank przyczyniła się do wyeliminowania phishingu.
Najprostszym przykładem próby tego typu oszustwa są dobrze nam znane wiadomości z prośbą o wykonanie pilnego przelewu, będącego niezbędną opłatą w celu przekazania nam spadku od zagranicznego księcia. Zapewne większość z nas uśmiechając się pod nosem, zapewni, że nigdy nie nabrałoby się na tego typu E-mail w swojej skrzynce odbiorczej.
Należy mieć jednak świadomość, że obecne formy phishingu są zdecydowanie lepiej przygotowane i trudniejsze do wykrycia – wielokrotnie przypominając 1:1 komunikację prawdziwych marek, co powoduje, że tak łatwo paść ich ofiarą. Często w takich wiadomościach logo zostanie wyświetlone w taki sposób, aby w pełni przypominało prawdziwą wiadomość z naszego banku.
To już nie te czasy, gdy wystarczyło spojrzeć na treść wiadomości, aby na pierwszy rzut oka rozpoznać próbę oszustwa z uwagi na słabo przygotowaną kreację z „rozsypanymi” elementami HTML w naszej skrzynce odbiorczej.
Rozwiązaniem, które zmniejszy ryzyko padnięcia ofiarą phishingu ,jest wdrożenie protokołów uwierzytelnień/bezpieczeństwa oraz standard BIMI, który pozwala na weryfikację autentyczności nadawcy emaila.
Poniżej przyjrzymy się bardziej szczegółowo standardowi BIMI oraz pozostałym metodom skutecznej ochrony przed phishingiem.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Adres skrzynki elektronicznej to jedna z najłatwiejszych do zdobycia informacji, którą można znaleźć na temat drugiej osoby nawet podczas analizy Twojej domeny. Każdy z nas wielokrotnie używał również swojego adresu e-mail do zapisania się do subskrypcji newslettera, założenia konta w serwisie internetowym, realizacji zakupu online czy wysłania CV.
Wraz z wejściem w życie rozporządzenia RODO nabyliśmy wiele praw, dzięki którym możliwe jest uzyskanie informacji, w jaki sposób ktoś wszedł w posiadanie naszych danych i jak są one przetwarzane, co daje nam większą kontrolę nad ich wykorzystaniem. Nie każdy jest jednak świadomy, że poprzez różne ataki hackerskie, bazy danych mogą zostać wykradzione, a po ich wycieku – nielegalnie sprzedane.
Darknet jest pełen ofert dotyczących sprzedaży poufnych informacji pochodzących z włamań do systemów informatycznych. Warto od czasu do czasu sprawdzić, czy nasz adres mailowy nie brał udziału w incydencie bezpieczeństwa i ujawnieniu danych – można to zrobić np. za pośrednictwem strony Have I Been Pwned.
Strona pozwala na sprawdzenie czy konto zarejestrowane na podany adres email zostało już kiedykolwiek skradzione i udostępnione publicznie. Jeśli tak, wyświetli się lista serwisów, na których do tego doszło.
Co zrobić jeżeli już otrzymaliśmy podejrzanego maila? Istnieje wiele możliwości sprawdzenia, czy otrzymana przez nas wiadomość nie jest próbą oszustwa:
Najczęstsza oznaka oszustwa: zła gramatyka i błędne słowa.
Bardziej zaawansowaną metodą weryfikacji wiarygodności otrzymanej wiadomości jest sprawdzenie jej nagłówka, co pozwala potwierdzić rzeczywistego nadawcę maila oraz ocenić czy jest on odpowiednio uwierzytelniony poprzez SPF, DKIM i DMARC.
Skrzynki mailowe często automatycznie przenoszą wiadomości, które nie przejdą walidacji powyższych protokołów do folderu SPAM, ale wiele z nich trafia nadal do innych zakładek z uwagi na ustawienie mniej restrykcyjnej polityki ich działania.
Należy pamiętać, że do tej pory to DMARC stanowił najwyższy poziom zabezpieczenia domeny – jedyny, który (dzięki przekazywanym raportom) pozwalał na weryfikację, kto jeszcze realizuje wysyłki za pośrednictwem Twojej domeny, alarmując tym samym o próbie oszustwa.
Niemniej obecnie w celu podszycia się pod nadawcę bardzo często wykorzystuje się łudząco podobne nazwy domen – przestawienie liter czy zastąpienie jednej z nich innym znakiem, powoduje, że trudno je odróżnić.
Wiele marek postawiło pomóc „zwykłemu” odbiorcy odróżnić prawdziwe maile od tych podrobionych. Powstają w tym celu bardzo ciekawe artykuły, podcasty czy webinary. Niestety, mimo poświęconej energii i zaangażowaniu w prowadzone kampanie edukacyjne, informacje dotyczące phishingu docierają wyłącznie do wąskiej grupy odbiorców.
Branża e-commerce od dłuższego czasu zastanawiała się więc nad rozwiązaniem pozwalającym już na pierwszy rzut oka rozpoznać zaufanego, zweryfikowanego nadawcę, który odpowiednio zabezpieczył swoją domenę – nie każdy odbiorca wczytuje się bowiem w szczegółowe informacje zawarte w nagłówku.
Odpowiedzią na to zapotrzebowanie stało się BIMI.
To akronim od angielskiego Brand Indicators for Message Identification, opisujący nowy standard zabezpieczeń, który umożliwia wyświetlanie logo nadawcy w wiadomościach mailowych.
Powody takiego rozwiązania są dwojakie, z jednej strony ma ono zapewniać ochronę użytkownikom przed atakami phishingowymi, z drugiej strony ma zapewniać prawowitym markom możliwość potwierdzania swojej tożsamości.
Na chwilę obecną BIMI wspierane jest przez Apple Mail oraz Gmail (który wymaga dodatkowo certyfikatu VMC), Fastmail oraz Yahoo! Kilku innych providerów wyraziło chęć przystąpienia do programu, można więc przypuszczać, że w krótkim czasie dołączą kolejni dostawcy skrzynek, a patrząc na przewidywania marketerów i opisywane przez nich trendy na 2022 rok – ma on szansę stać się niezwykle popularnym standardem.
Warto w tym miejscu podkreślić, że BIMI zapewnia kontrolę nad wykorzystaniem naszego zarejestrowanego znaku towarowego i pojawienie się logo w miejscu, nad którym nie do końca mieliśmy wcześniej kontrolę – w programie pocztowym, bezpośrednio obok nazwy nadawcy. Co prawda istnieją inne sposoby na dodanie znaku graficznego – jak rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Są to jednak rozwiązania, które mogą ulec zmianie czy wycofaniu w każdej chwili i przede wszystkim nie stanowią żadnego potwierdzenia wdrożenia zabezpieczeń i posiadania odpowiednich praw (jak Trademark) do danego logo.
Dodatkowo, są inne możliwości by dodać logotypy do wiadomości, można skorzystać z naszego rodzimego Boost od Interii, programu Logo w Google Workspace (dawnie G Suite), Avataru w Postmaster Mail.ru toll czy Bing dla Microsoft’a. Jednakże, rozwiązania te mogą zostać zmienione czy wycofane w każdym czasie, a przede wszystkim, nie wymagają zapewniania żadnych potwierdzeń implementacji zasad bezpieczeństwa i posiadania ważnych praw (takich jak znak towarowy) do posiadanego przez markę logotypu.
Standard BIMI pozwala na weryfikacje autentyczności nadawcy na dwa sposoby:
Posłuchaj naszego podcastu aby sprawdzić jak BIMI pomaga zwiększyć bezpieczeństwo i dostarczalność maili.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Proces wdrożenia BIMI jest bardzo prosty, pod warunkiem że mamy dostęp do konsoli zarządzania DNS. Należy utworzyć w DNS specjalny rekord BIMI TXT zawierający adres URL pliku, logo obrazu oraz, opcjonalnie, adres URL VMC. Wpis ten powinien być opublikowany w domenie organizacyjnej.
Plik musi być zapisany jako wersja formatu Scaled Vector Graphic (SVG). Logo musi być również odpowiednio skalowane i powinno mieć jednolite tło (nieprzezroczyste). Zalecany rozmiar pliku nie powinien przekraczać 32 kilobajtów, ale może być też znacznie mniejszy.
W celu uproszczenia tego procesu można również skorzystać z internetowego generatora zapisów BIMI.
Warto zauważyć, że aby BIMI działało poprawnie, nazwa domeny musi być odpowiednio uwierzytelniona za pomocą SPF, DKIM i DMARC. W przeciwnym razie wdrożenie BIMI zakończy się niepowodzeniem.
Jeśli chodzi o DMARC, konieczne jest ustawienie restrykcyjnej polityki (quarantine lub reject), która definiuje co zrobić w przypadku uwierzytelnionych wiadomości, gdy email nie przejdzie weryfikacji SPF jak i DKIM. Wielu nadawców nadal używa polityki “none” (która nie będzie miała wpływu na dostarczenie emaila, ale nadal będzie dostarczać raporty DMARC) lub nie ustawia jej w ogóle.
Biorąc pod uwagę, jak proste jest dla oszustów znalezienie i wykorzystanie adresów E-mail, należy podjąć odpowiednie środki ostrożności, tak by klienci czuli się bezpiecznie, otwierając nasze wiadomości – które są przecież tak ważnym i skutecznym sposobem utrzymania z nimi stałych relacji dzięki skrzynkom pocztowym.
Decydując się na wdrożenie BIMI dajesz sygnał, że dbasz o bezpieczeństwo odbiorców, zapewniając najwyższy standard zabezpieczeń oraz ułatwiasz rozpoznanie bezpiecznego nadawcy poprzez dostarczenie w wiadomościach logotypów z Twojej domeny. Nie ma potrzeby dodatkowego edukowania klientów w tej kwestii – zamiast podcastów, webinarów czy artykułów, które nie zawsze docierają do „przeciętnego” odbiorcy, wystarczy wskazać, że mail jest prawdziwy bo posiada zweryfikowane logo.
Co ważne, takie działania mogą dodatkowo skutecznie „zniechęcać” potencjalnych oszustów do prób podszycia się pod Twoją markę, gdyż łatwo będzie odróżnić maile w pełni zabezpieczone dzięki wyróżniającym się certyfikowanym znakiem graficznym, od fałszywych wiadomości – bez BIMI. Dodatkową zaletą jest też większy współczynnik Otwarć, dzięki któremu możesz liczyć na zwiększoną konwersję.
Specjaliści z EmailLabs z chęcią pomogą Ci w jego implementacji, tak aby cały proces odbył się szybko i sprawnie. Masz pytania? Skontaktuj się z naszym BOK.
Dobre praktyki, Gmail, Uwierzytelnienia e-mail
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
GDPR, Zgodność i bezpieczeństwo
Spółka Vercom S.A., która prowadzi projekt EmailLabs, z sukcesem przeszła kolejną certyfikację na normę ISO/IEC 27001 oraz ISO 27018. Wdrożony w Vercom S.A. System Zarządzania Bezpieczeństwa Informacji 0bejmuje tworzenie,...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Dobre praktyki, Dostarczalność email
E-commerce rośnie w astronomicznym tempie, a wraz z nim kanał, który charakteryzuje się najwyższym czynnikiem konwersji w tej branży – E-mail. Wg raportu Statista z 2017 roku, globalny handel...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Dobre praktyki, Reputacja Nadawcy
Twoje kampanie e-mail nie przynoszą oczekiwanych rezultatów? Niskie współczynniki otwarć i wysokie współczynniki odrzuceń mogą być frustrujące, ale możesz odwrócić tę sytuację przez poprawę reputacji nadawcy. Ale zanim to,...
Gmail, Uwierzytelnienia e-mail
W celu zwiększenia bezpieczeństwa poczty elektronicznej i ochrony użytkowników przed złośliwymi wiadomościami, Google i Yahoo zamierzają wdrożyć surowe wymagania dotyczące uwierzytelniania e-maili od 2024 roku. E-mail marketing stał się...