Co to jest BIMI?

 

Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje kanały dystrybucji, przenosząc tym samym całkowicie (bądź sporą część) swojej działalności do Internetu. Spowodowało to, że phishing stał się jedną z najbardziej powszechnych form cyberprzestępczości, przez co, firmy musiały zadbać o większe bezpieczeństwo między innymi na skrzynkach odbiorczych swoich pracowników.

BIMI jako tarcza antyphishingowa

Dziś to nie tylko fałszywe strony internetowe – choć głównie o nich słyszymy w kontekście ostatnich prób podszycia się pod największe polskie banki. Phishing to także nieuczciwe wysyłanie wiadomości E-mail pod przykrywką znanych i renomowanych marek w celu nakłonienia do udostępnienia informacji osobistych, takich jak używane hasła czy dane bankowe – np. numer karty kredytowej.

Sprawdź jak weryfikacja nadawcy mBank przyczyniła się do wyeliminowania phishingu.

Najprostszym przykładem próby tego typu oszustwa są dobrze nam znane wiadomości z prośbą o wykonanie pilnego przelewu, będącego niezbędną opłatą w celu przekazania nam spadku od zagranicznego księcia. Zapewne większość z nas uśmiechając się pod nosem, zapewni, że nigdy nie nabrałoby się na tego typu E-mail w swojej skrzynce odbiorczej.

Należy mieć jednak świadomość, że obecne formy phishingu są zdecydowanie lepiej przygotowane i trudniejsze do wykrycia – wielokrotnie przypominając 1:1 komunikację prawdziwych marek, co powoduje, że tak łatwo paść ich ofiarą. Często w takich wiadomościach logo zostanie wyświetlone w taki sposób, aby w pełni przypominało prawdziwą wiadomość z naszego banku.

To już nie te czasy, gdy wystarczyło spojrzeć na treść wiadomości, aby na pierwszy rzut oka rozpoznać próbę oszustwa z uwagi na słabo przygotowaną kreację z „rozsypanymi” elementami HTML w naszej skrzynce odbiorczej.

Rozwiązaniem, które zmniejszy ryzyko padnięcia ofiarą phishingu ,jest wdrożenie protokołów uwierzytelnień/bezpieczeństwa oraz standard BIMI, który pozwala na weryfikację autentyczności nadawcy emaila.

Poniżej przyjrzymy się bardziej szczegółowo standardowi BIMI oraz pozostałym metodom skutecznej ochrony przed phishingiem.

Od czego zaczyna się email phishing?

Adres skrzynki elektronicznej to jedna z najłatwiejszych do zdobycia informacji, którą można znaleźć na temat drugiej osoby nawet podczas analizy Twojej domeny. Każdy z nas wielokrotnie używał również swojego adresu e-mail do zapisania się do subskrypcji newslettera, założenia konta w serwisie internetowym, realizacji zakupu online czy wysłania CV.

Wraz z wejściem w życie rozporządzenia RODO nabyliśmy wiele praw, dzięki którym możliwe jest uzyskanie informacji, w jaki sposób ktoś wszedł w posiadanie naszych danych i jak są one przetwarzane, co daje nam większą kontrolę nad ich wykorzystaniem. Nie każdy jest jednak świadomy, że poprzez różne ataki hackerskie, bazy danych mogą zostać wykradzione, a po ich wycieku – nielegalnie sprzedane.

Darknet jest pełen ofert dotyczących sprzedaży poufnych informacji pochodzących z włamań do systemów informatycznych. Warto od czasu do czasu sprawdzić, czy nasz adres mailowy nie brał udziału w incydencie bezpieczeństwa i ujawnieniu danych – można to zrobić np. za pośrednictwem strony Have I Been Pwned.

Masz wiadomość! Sprawdź, co otrzymałeś,

Sprawdzaj otrzymaną wiadomość mailową

Co zrobić jeżeli już otrzymaliśmy podejrzanego maila? Istnieje wiele możliwości sprawdzenia, czy otrzymana przez nas wiadomość nie jest próbą oszustwa:

• Nadawca: zweryfikuj czy adres mailowy jest wiarygodny i powiązany z organizacją, która realizuje wysyłkę oraz czy sama nazwa nadawcy wygląda na prawdziwą.
• Odbiorca: oceń, w jakim stopniu spersonalizowana jest wiadomość – czy użyto Twojego imienia, czy zamiast tego mail kierowany jest do „Przyjaciela”, „Cenionego współpracownika” itp.
• Treść: sprawdź, czy jest poprawna gramatycznie (a może brzmi jak automatycznie przetłumaczona?), czy nie zawiera literówek oraz czy użyto polskich znaków jak „ą” czy „ł”. Fałszywe maile zawierają często również sformułowania zachęcające do szybkiego podjęcia akcji np. „pilnie zmień hasło”, „kliknij tutaj natychmiast” i kierujące na podejrzane linki.

Bardziej zaawansowaną metodą weryfikacji wiarygodności otrzymanej wiadomości jest sprawdzenie jej nagłówka, co pozwala potwierdzić rzeczywistego nadawcę maila oraz ocenić czy jest on odpowiednio uwierzytelniony poprzez SPF, DKIM i DMARC.

Skrzynki mailowe często automatycznie przenoszą wiadomości, które nie przejdą walidacji powyższych protokołów do folderu SPAM, ale wiele z nich trafia nadal do innych zakładek z uwagi na ustawienie mniej restrykcyjnej polityki ich działania.

Należy pamiętać, że do tej pory to DMARC stanowił najwyższy poziom zabezpieczenia domeny – jedyny, który (dzięki przekazywanym raportom) pozwalał na weryfikację, kto jeszcze realizuje wysyłki za pośrednictwem Twojej domeny, alarmując tym samym o próbie oszustwa.

Niemniej obecnie w celu podszycia się pod nadawcę bardzo często wykorzystuje się łudząco podobne nazwy domen – przestawienie liter czy zastąpienie jednej z nich innym znakiem, powoduje, że trudno je odróżnić.

Wiele marek postawiło pomóc „zwykłemu” odbiorcy odróżnić prawdziwe maile od tych podrobionych. Powstają w tym celu bardzo ciekawe artykuły, podcasty czy webinary. Niestety, mimo poświęconej energii i zaangażowaniu w prowadzone kampanie edukacyjne, informacje dotyczące phishingu docierają wyłącznie do wąskiej grupy odbiorców.

Branża e-commerce od dłuższego czasu zastanawiała się więc nad rozwiązaniem pozwalającym już na pierwszy rzut oka rozpoznać zaufanego, zweryfikowanego nadawcę, który odpowiednio zabezpieczył swoją domenę – nie każdy odbiorca wczytuje się bowiem w szczegółowe informacje zawarte w nagłówku.

Odpowiedzią na to zapotrzebowanie stało się BIMI.

Czym właściwie jest BIMI?

To akronim od angielskiego Brand Indicators for Message Identification, opisujący nowy standard zabezpieczeń, który umożliwia wyświetlanie logo nadawcy w wiadomościach mailowych.

Powody takiego rozwiązania są dwojakie, z jednej strony ma ono zapewniać ochronę użytkownikom przed atakami phishingowymi, z drugiej strony ma zapewniać prawowitym markom możliwość potwierdzania swojej tożsamości.

Na chwilę obecną BIMI wspierane jest przez Apple Mail oraz Gmail (który wymaga dodatkowo certyfikatu VMC), Fastmail oraz Yahoo! Kilku innych providerów wyraziło chęć przystąpienia do programu, można więc przypuszczać, że w krótkim czasie dołączą kolejni dostawcy skrzynek, a patrząc na przewidywania marketerów i opisywane przez nich trendy na 2022 rok – ma on szansę stać się niezwykle popularnym standardem.

Warto w tym miejscu podkreślić, że BIMI zapewnia kontrolę nad wykorzystaniem naszego zarejestrowanego znaku towarowego i pojawienie się logo w miejscu, nad którym nie do końca mieliśmy wcześniej kontrolę – w programie pocztowym, bezpośrednio obok nazwy nadawcy. Co prawda istnieją inne sposoby na dodanie znaku graficznego – jak rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Są to jednak rozwiązania, które mogą ulec zmianie czy wycofaniu w każdej chwili i przede wszystkim nie stanowią żadnego potwierdzenia wdrożenia zabezpieczeń i posiadania odpowiednich praw (jak Trademark) do danego logo.

Dodatkowo, są inne możliwości by dodać logotypy do wiadomości, można skorzystać z naszego rodzimego Boost od Interii, programu Logo w Google Workspace (dawnie G Suite), Avataru w Postmaster Mail.ru toll czy Bing dla Microsoft’a. Jednakże, rozwiązania te mogą zostać zmienione czy wycofane w każdym czasie, a przede wszystkim, nie wymagają zapewniania żadnych potwierdzeń implementacji zasad bezpieczeństwa i posiadania ważnych praw (takich jak znak towarowy) do posiadanego przez markę logotypu.

Standard BIMI pozwala na weryfikacje autentyczności nadawcy na dwa sposoby:

• Odbiorcy poczty e-mail wysłanej przez klienta, mogą pobrać logotyp i wyświetlić je wraz z e-mailem, jeśli został wysłany z domeny prawidłowym rekordzie BIMI.
• Poprzez wyświetlenie logotypu marki na listingu wiadomości, podczas przeglądania e-maila na urządzeniach mobilnych czy po rozszerzeniu listy wiadomości.

Posłuchaj naszego podcastu aby sprawdzić jak BIMI pomaga zwiększyć bezpieczeństwo i dostarczalność maili.

Wdrożenie BIMI krok po kroku

Proces wdrożenia BIMI jest bardzo prosty, pod warunkiem że mamy dostęp do konsoli zarządzania DNS. Należy utworzyć w DNS specjalny rekord BIMI TXT zawierający adres URL pliku, logo obrazu oraz, opcjonalnie, adres URL VMC. Wpis ten powinien być opublikowany w domenie organizacyjnej.

Plik musi być zapisany jako wersja formatu Scaled Vector Graphic (SVG). Logo musi być również odpowiednio skalowane i powinno mieć jednolite tło (nieprzezroczyste). Zalecany rozmiar pliku nie powinien przekraczać 32 kilobajtów, ale może być też znacznie mniejszy.

W celu uproszczenia tego procesu można również skorzystać z internetowego generatora zapisów BIMI.

Warto zauważyć, że aby BIMI działało poprawnie, nazwa domeny musi być odpowiednio uwierzytelniona za pomocą SPF, DKIM i DMARC. W przeciwnym razie wdrożenie BIMI zakończy się niepowodzeniem.

Jeśli chodzi o DMARC, konieczne jest ustawienie restrykcyjnej polityki (quarantine lub reject), która definiuje co zrobić w przypadku uwierzytelnionych wiadomości, gdy email nie przejdzie weryfikacji SPF jak i DKIM. Wielu nadawców nadal używa polityki “none” (która nie będzie miała wpływu na dostarczenie emaila, ale nadal będzie dostarczać raporty DMARC) lub nie ustawia jej w ogóle.

Podsumowanie

Biorąc pod uwagę, jak proste jest dla oszustów znalezienie i wykorzystanie adresów E-mail, należy podjąć odpowiednie środki ostrożności, tak by klienci czuli się bezpiecznie, otwierając nasze wiadomości – które są przecież tak ważnym i skutecznym sposobem utrzymania z nimi stałych relacji dzięki skrzynkom pocztowym.

Decydując się na wdrożenie BIMI dajesz sygnał, że dbasz o bezpieczeństwo odbiorców, zapewniając najwyższy standard zabezpieczeń oraz ułatwiasz rozpoznanie bezpiecznego nadawcy poprzez dostarczenie w wiadomościach logotypów z Twojej domeny. Nie ma potrzeby dodatkowego edukowania klientów w tej kwestii – zamiast podcastów, webinarów czy artykułów, które nie zawsze docierają do „przeciętnego” odbiorcy, wystarczy wskazać, że mail jest prawdziwy bo posiada zweryfikowane logo.

Co ważne, takie działania mogą dodatkowo skutecznie „zniechęcać” potencjalnych oszustów do prób podszycia się pod Twoją markę, gdyż łatwo będzie odróżnić maile w pełni zabezpieczone dzięki wyróżniającym się certyfikowanym znakiem graficznym, od fałszywych wiadomości – bez BIMI. Dodatkową zaletą jest też większy współczynnik Otwarć, dzięki któremu możesz liczyć na zwiększoną konwersję.

Specjaliści z EmailLabs z chęcią pomogą Ci w jego implementacji, tak aby cały proces odbył się szybko i sprawnie. Masz pytania? Skontaktuj się z naszym BOK.