Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować swoje kanały dystrybucji, przenosząc tym samym całkowicie (bądź sporą część) swojej działalności do Internetu. Spowodowało to, że phishing stał się jedną z najbardziej powszechnych form cyberprzestępczości, przez co, firmy musiały zadbać o większe bezpieczeństwo między innymi na skrzynkach odbiorczych swoich pracowników.
Dziś to nie tylko fałszywe strony internetowe – choć głównie o nich słyszymy w kontekście ostatnich prób podszycia się pod największe polskie banki. Phishing to także nieuczciwe wysyłanie wiadomości E-mail pod przykrywką znanych i renomowanych marek w celu nakłonienia do udostępnienia informacji osobistych, takich jak używane hasła czy dane bankowe – np. numer karty kredytowej.
Sprawdź jak weryfikacja nadawcy mBank przyczyniła się do wyeliminowania phishingu.
Najprostszym przykładem próby tego typu oszustwa są dobrze nam znane wiadomości z prośbą o wykonanie pilnego przelewu, będącego niezbędną opłatą w celu przekazania nam spadku od zagranicznego księcia. Zapewne większość z nas uśmiechając się pod nosem, zapewni, że nigdy nie nabrałoby się na tego typu E-mail w swojej skrzynce odbiorczej.
Należy mieć jednak świadomość, że obecne formy phishingu są zdecydowanie lepiej przygotowane i trudniejsze do wykrycia – wielokrotnie przypominając 1:1 komunikację prawdziwych marek, co powoduje, że tak łatwo paść ich ofiarą. Często w takich wiadomościach logo zostanie wyświetlone w taki sposób, aby w pełni przypominało prawdziwą wiadomość z naszego banku.
To już nie te czasy, gdy wystarczyło spojrzeć na treść wiadomości, aby na pierwszy rzut oka rozpoznać próbę oszustwa z uwagi na słabo przygotowaną kreację z „rozsypanymi” elementami HTML w naszej skrzynce odbiorczej.
Rozwiązaniem, które zmniejszy ryzyko padnięcia ofiarą phishingu ,jest wdrożenie protokołów uwierzytelnień/bezpieczeństwa oraz standard BIMI, który pozwala na weryfikację autentyczności nadawcy emaila.
Poniżej przyjrzymy się bardziej szczegółowo standardowi BIMI oraz pozostałym metodom skutecznej ochrony przed phishingiem.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Adres skrzynki elektronicznej to jedna z najłatwiejszych do zdobycia informacji, którą można znaleźć na temat drugiej osoby nawet podczas analizy Twojej domeny. Każdy z nas wielokrotnie używał również swojego adresu e-mail do zapisania się do subskrypcji newslettera, założenia konta w serwisie internetowym, realizacji zakupu online czy wysłania CV.
Wraz z wejściem w życie rozporządzenia RODO nabyliśmy wiele praw, dzięki którym możliwe jest uzyskanie informacji, w jaki sposób ktoś wszedł w posiadanie naszych danych i jak są one przetwarzane, co daje nam większą kontrolę nad ich wykorzystaniem. Nie każdy jest jednak świadomy, że poprzez różne ataki hackerskie, bazy danych mogą zostać wykradzione, a po ich wycieku – nielegalnie sprzedane.
Darknet jest pełen ofert dotyczących sprzedaży poufnych informacji pochodzących z włamań do systemów informatycznych. Warto od czasu do czasu sprawdzić, czy nasz adres mailowy nie brał udziału w incydencie bezpieczeństwa i ujawnieniu danych – można to zrobić np. za pośrednictwem strony Have I Been Pwned.
Co zrobić jeżeli już otrzymaliśmy podejrzanego maila? Istnieje wiele możliwości sprawdzenia, czy otrzymana przez nas wiadomość nie jest próbą oszustwa:
Bardziej zaawansowaną metodą weryfikacji wiarygodności otrzymanej wiadomości jest sprawdzenie jej nagłówka, co pozwala potwierdzić rzeczywistego nadawcę maila oraz ocenić czy jest on odpowiednio uwierzytelniony poprzez SPF, DKIM i DMARC.
Skrzynki mailowe często automatycznie przenoszą wiadomości, które nie przejdą walidacji powyższych protokołów do folderu SPAM, ale wiele z nich trafia nadal do innych zakładek z uwagi na ustawienie mniej restrykcyjnej polityki ich działania.
Należy pamiętać, że do tej pory to DMARC stanowił najwyższy poziom zabezpieczenia domeny – jedyny, który (dzięki przekazywanym raportom) pozwalał na weryfikację, kto jeszcze realizuje wysyłki za pośrednictwem Twojej domeny, alarmując tym samym o próbie oszustwa.
Niemniej obecnie w celu podszycia się pod nadawcę bardzo często wykorzystuje się łudząco podobne nazwy domen – przestawienie liter czy zastąpienie jednej z nich innym znakiem, powoduje, że trudno je odróżnić.
Wiele marek postawiło pomóc „zwykłemu” odbiorcy odróżnić prawdziwe maile od tych podrobionych. Powstają w tym celu bardzo ciekawe artykuły, podcasty czy webinary. Niestety, mimo poświęconej energii i zaangażowaniu w prowadzone kampanie edukacyjne, informacje dotyczące phishingu docierają wyłącznie do wąskiej grupy odbiorców.
Branża e-commerce od dłuższego czasu zastanawiała się więc nad rozwiązaniem pozwalającym już na pierwszy rzut oka rozpoznać zaufanego, zweryfikowanego nadawcę, który odpowiednio zabezpieczył swoją domenę – nie każdy odbiorca wczytuje się bowiem w szczegółowe informacje zawarte w nagłówku.
Odpowiedzią na to zapotrzebowanie stało się BIMI.
To akronim od angielskiego Brand Indicators for Message Identification, opisujący nowy standard zabezpieczeń, który umożliwia wyświetlanie logo nadawcy w wiadomościach mailowych.
Powody takiego rozwiązania są dwojakie, z jednej strony ma ono zapewniać ochronę użytkownikom przed atakami phishingowymi, z drugiej strony ma zapewniać prawowitym markom możliwość potwierdzania swojej tożsamości.
Na chwilę obecną BIMI wspierane jest przez Apple Mail oraz Gmail (który wymaga dodatkowo certyfikatu VMC), Fastmail oraz Yahoo! Kilku innych providerów wyraziło chęć przystąpienia do programu, można więc przypuszczać, że w krótkim czasie dołączą kolejni dostawcy skrzynek, a patrząc na przewidywania marketerów i opisywane przez nich trendy na 2022 rok – ma on szansę stać się niezwykle popularnym standardem.
Warto w tym miejscu podkreślić, że BIMI zapewnia kontrolę nad wykorzystaniem naszego zarejestrowanego znaku towarowego i pojawienie się logo w miejscu, nad którym nie do końca mieliśmy wcześniej kontrolę – w programie pocztowym, bezpośrednio obok nazwy nadawcy. Co prawda istnieją inne sposoby na dodanie znaku graficznego – jak rodzimy Boost od Interii, logo w Google Workspace (dawniej G Suite), Avatar w narzędziu Postmaster Mail.ru, Bing dla Microsoft. Są to jednak rozwiązania, które mogą ulec zmianie czy wycofaniu w każdej chwili i przede wszystkim nie stanowią żadnego potwierdzenia wdrożenia zabezpieczeń i posiadania odpowiednich praw (jak Trademark) do danego logo.
Dodatkowo, są inne możliwości by dodać logotypy do wiadomości, można skorzystać z naszego rodzimego Boost od Interii, programu Logo w Google Workspace (dawnie G Suite), Avataru w Postmaster Mail.ru toll czy Bing dla Microsoft’a. Jednakże, rozwiązania te mogą zostać zmienione czy wycofane w każdym czasie, a przede wszystkim, nie wymagają zapewniania żadnych potwierdzeń implementacji zasad bezpieczeństwa i posiadania ważnych praw (takich jak znak towarowy) do posiadanego przez markę logotypu.
Standard BIMI pozwala na weryfikacje autentyczności nadawcy na dwa sposoby:
Posłuchaj naszego podcastu aby sprawdzić jak BIMI pomaga zwiększyć bezpieczeństwo i dostarczalność maili.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Proces wdrożenia BIMI jest bardzo prosty, pod warunkiem że mamy dostęp do konsoli zarządzania DNS. Należy utworzyć w DNS specjalny rekord BIMI TXT zawierający adres URL pliku, logo obrazu oraz, opcjonalnie, adres URL VMC. Wpis ten powinien być opublikowany w domenie organizacyjnej.
Plik musi być zapisany jako wersja formatu Scaled Vector Graphic (SVG). Logo musi być również odpowiednio skalowane i powinno mieć jednolite tło (nieprzezroczyste). Zalecany rozmiar pliku nie powinien przekraczać 32 kilobajtów, ale może być też znacznie mniejszy.
W celu uproszczenia tego procesu można również skorzystać z internetowego generatora zapisów BIMI.
Warto zauważyć, że aby BIMI działało poprawnie, nazwa domeny musi być odpowiednio uwierzytelniona za pomocą SPF, DKIM i DMARC. W przeciwnym razie wdrożenie BIMI zakończy się niepowodzeniem.
Jeśli chodzi o DMARC, konieczne jest ustawienie restrykcyjnej polityki (quarantine lub reject), która definiuje co zrobić w przypadku uwierzytelnionych wiadomości, gdy email nie przejdzie weryfikacji SPF jak i DKIM. Wielu nadawców nadal używa polityki “none” (która nie będzie miała wpływu na dostarczenie emaila, ale nadal będzie dostarczać raporty DMARC) lub nie ustawia jej w ogóle.
[Zaktualizowano 26.09.2024]
Ten wpis został zaktualizowany, aby uwzględnić wsparcie Google dla Certyfikatów CMC (Common Mark Certificate), które umożliwiają markom korzystanie z BIMI w Gmailu bez konieczności posiadania zarejestrowanego znaku towarowego. Dowiedz się, jak te zmiany zwiększają dostępność BIMI i co oznaczają dla Twojej strategii e-mail marketingowej.
Grupa AuthIndicators Working Group (znana również jako Grupa BIMI) ogłosiła wprowadzenie Certyfikatów CMC (Common Mark Certificate) – nowego dodatku do standardu BIMI (Brand Indicators for Message Identification), który obecnie jest wspierany przez Google w Gmailu. Wcześniej marki musiały posiadać Certyfikat VMC, wymagający zarejestrowanego znaku towarowego, aby korzystać z BIMI. Wymóg ten często okazywał się zbyt kosztowny i czasochłonny dla mniejszych firm. Jednak wprowadzenie CMC pozwala teraz markom wyświetlać swoje logo w Gmailu bez potrzeby rejestracji znaku towarowego, co sprawia, że BIMI staje się bardziej dostępne dla szerszej grupy firm.
Wraz z tą aktualizacją Google wprowadziło kilka innych zmian dotyczących BIMI. Certyfikat CMC umożliwia markom wyświetlanie logo bez niebieskiego znacznika zweryfikowanego nadawcy, który towarzyszy VMC. Ponadto Gmail zacznie teraz wyświetlać wspomniane znaczniki BIMI dla marek korzystających z VMC nie tylko w wersji webowej, ale także w aplikacjach mobilnych na Androidzie i iOS. Aktualizacja zostanie wprowadzona w ciągu najbliższych kilku tygodni.
Kluczowe zmiany obejmują:
Firmy rozważające wybór między VMC a CMC powinny pamiętać, że główna różnica polega na obecności niebieskiego znacznika zweryfikowanego nadawcy. VMC wymaga zarejestrowanego znaku towarowego i zapewnia niebieski znacznik Google, natomiast CMC oferuje bardziej elastyczną i przystępną opcję, ale bez tego znaczka.
Te zmiany zainicjowane przez Google sprawiają, że BIMI staje się bardziej dostępne dla firm każdej wielkości, zwiększając widoczność marki i zaufanie w kampaniach e-mail marketingowych.
Więcej na temat wprowadzonych zmian można znaleźć na stronach BIMI Group oraz Google Workspace Updates.
Biorąc pod uwagę, jak proste jest dla oszustów znalezienie i wykorzystanie adresów E-mail, należy podjąć odpowiednie środki ostrożności, tak by klienci czuli się bezpiecznie, otwierając nasze wiadomości – które są przecież tak ważnym i skutecznym sposobem utrzymania z nimi stałych relacji dzięki skrzynkom pocztowym.
Decydując się na wdrożenie BIMI dajesz sygnał, że dbasz o bezpieczeństwo odbiorców, zapewniając najwyższy standard zabezpieczeń oraz ułatwiasz rozpoznanie bezpiecznego nadawcy poprzez dostarczenie w wiadomościach logotypów z Twojej domeny. Nie ma potrzeby dodatkowego edukowania klientów w tej kwestii – zamiast podcastów, webinarów czy artykułów, które nie zawsze docierają do „przeciętnego” odbiorcy, wystarczy wskazać, że mail jest prawdziwy bo posiada zweryfikowane logo.
Co ważne, takie działania mogą dodatkowo skutecznie „zniechęcać” potencjalnych oszustów do prób podszycia się pod Twoją markę, gdyż łatwo będzie odróżnić maile w pełni zabezpieczone dzięki wyróżniającym się certyfikowanym znakiem graficznym, od fałszywych wiadomości – bez BIMI. Dodatkową zaletą jest też większy współczynnik Otwarć, dzięki któremu możesz liczyć na zwiększoną konwersję.
Specjaliści z EmailLabs z chęcią pomogą Ci w jego implementacji, tak aby cały proces odbył się szybko i sprawnie. Masz pytania? Skontaktuj się z naszym BOK.
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
16 września 2024 roku Apple, wraz z premierą iOS 18, wprowadził do aplikacji Mail długo wyczekiwaną funkcję – zakładki i kategoryzację wiadomości w skrzynce odbiorczej. Choć rozwiązanie nie jest...
Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
16 września 2024 roku Apple, wraz z premierą iOS 18, wprowadził do aplikacji Mail długo wyczekiwaną funkcję – zakładki i kategoryzację wiadomości w skrzynce odbiorczej. Choć rozwiązanie nie jest...
Użytkownicy Gmaila mogą wkrótce skorzystać z przełomowej funkcji o nazwie Shielded Email, zaprojektowanej z myślą o zwiększeniu prywatności i zwalczaniu spamu. Choć funkcja nie została jeszcze oficjalnie wprowadzona, ostatnie...
Czy masz dość sytuacji, w której Twoje e-maile są blokowane przez Gmail? Zastanawiasz się, co powoduje ten problem i jak go rozwiązać? W tym artykule omówimy najczęstsze przyczyny blokowania...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
Dobre praktyki, Dostarczalność email
W dzisiejszej cyfrowej rzeczywistości e-mail stanowi kluczowy element komunikacji, zarówno w życiu prywatnym, jak i zawodowym. Wysyłamy za jego pośrednictwem istotne wiadomości, dokumenty oraz aktualizacje. Co jednak zrobić, gdy...