En ny analys från Proofpoint, ett ledande företag inom cybersäkerhet och regelefterlevnad, visar att en klar majoritet av de största svenska näthandelssajterna släpar efter kring grundläggande cybersäkerhet inför årets största shoppinghelger.
Nästan två tredjedelar (65 %) blockerar inte aktivt förfalskade epostmeddelanden för att nå kunder, personal och partners. 15 % tar inga initiativ alls för att skydda sitt varumärke att utnyttjas av nätkriminella.
Detta är baserat på en Domain-based Message Authentication, Reporting & Conformance (DMARC)-analys över de 20 största e-handlarna i Sverige.
DMARC är ett väletablerat valideringsprotokoll designat för att förhindra att domännamn att missbrukas av nätkriminella. Det säkerställer användarens identitet innan ett meddelande tillåts nå mottagaren. DMARC har tre nivåer av skydd – monitor, quarantine och reject, där reject är den mest säkra för att förhindra misstänkt epost att nå inboxen.
– Email fortsätter vara en populär vektor för nätkriminella, och detaljhandeln fortsätter vara en måltavla. Dessutom kommer cyberbrottslingar alltid att utnyttja aktuella händelser för att utföra riktade attacker med hjälp av social ingenjörsteknik som personifiering och kommer att dra nytta av en tid då många är mindre uppmärksamma och istället fokuserade på att hitta reafynd under Black Friday, säger Mikael Järpenge, teknisk cybersäkerhetsexpert på Proofpoint.
När en domän har DMARC-skydd analyseras varje mejl som sänds ut för att säkerställa att avsändaren är kopplad till domänen. Utan skyddet kan vem som helst sända ut ett mejl med falsk avsändaradress som ser ut att vara legitim.
Den svenska e-handeln har haft det tufft den senaste tiden. Enligt siffror sjönk omsättningen hos svenska e-handlare med fyra procent under andra kvartalet 2023. Samtidigt är förväntningarna inför årets Black Friday höga när fler svenskar än vanligt väntas leta reapriser, till följd av lågkonjunkturen.
När Proofpoint genomförde en liknande undersökning för ett år sedan hade bara tre av tio (30 %) av de undersökta sajterna den högsta graden av DMARC-skydd, jämfört med 35 % nu, och 20 procent saknade skyddet helt, jämfört med 15 % detta år.
– Medan det är positivt att se en ökning kring antalet e-handlare som implementerar DMARC är implementationen hos e-handlarna oroväckande låg. Givet det stora tryck som brukar vara kring den här perioden hade det varit önskvärt om fler insåg vikten av att skydda sina kunder och sitt eget varumärke mot nätfiske, säger Mikael Järpenge.
– E-postautentiseringsprotokoll som DMARC är viktiga för att stärka och förhindra e-postbedrägerier och skydda kunder, personal och intressenter från skadliga attacker. Se det som passkontrollen för e-postsäkerhetsvärlden.
Nyckeltal från undersökningen:
- 85 procent av de 20 största e-handelssajterna i Sverige har någon grad av DMARC aktiverat, vilket gör att 15 procent är helt oskyddade från domänspoofing.
- Bara 35 procent av de undersökta e-handelssajterna har den starkaste formen av skydd, där falska e-postmeddelanden i företagsdomänens namn blockeras från att nå mottagaren, vilket innebär att 65 procent av sajterna inte proaktivt stoppar falska mejl riktade till kunder.
Bästa tipsen för konsumenter: Så ser du till att vara säker när du handlar på nätet
ANVÄND STARKA LÖSENORD
Återanvänd inte gamla lösenord. Överväg att använda en lösenordshanterare för att göra det så enkelt som möjligt att hålla dig säker. Lägg till ett extra lager av skydd med multifaktorautentisering.
UNDVIK OSKYDDADE NÄTVERK
Gratis trådlösa nätverk är ofta oskyddade och cyberbrottslingar kan fånga upp data som skickas över dem och få tillgång till t ex kreditkortsnummer, lösenord och kontoinformation.
SE UPP FÖR FEJKADE SAJTER
Det finns gott om fejksajter som utger sig för att vara populära butiker. De kanske säljer piratkopior, är fulla av skadlig kod eller helt enkelt stjäl dina pengar – eller kontouppgifter.
VAR SÄKER PÅ AVSÄNDAREN
Nätfiske-mejl leder till osäkra webbsidor som stjäl personlig information. Se upp för SMS-fiske också – så kallad ”smishing” – och var vaksam för meddelanden i sociala kanaler.
KLICKA INTE PÅ LÄNKAR
Hittat ett lockande erbjudande I ett mejl eller sms? Gå direkt till ursprungskällan genom att skriva in adressen direkt i webbläsaren, och testa rabattkoden i kassan för att se till att den inte är en bluff.
BEKRÄFTA INNAN DU BESTÄLLER
Bedrägliga annonser, sajter och mobilappar kan vara svåra att upptäcka. När du laddar ner en ny app, eller besöker en okänd sajt, ta dig tid att läsa recensioner så hittar du andras klagomål.
Mot denna bakgrund har Google och Yahoo! nyligen meddelat att de från februari 2024 kommer att kräva e-postautentisering för att kunna skicka meddelanden från sina plattformar, vilket signalerar att viktiga åtgärder vidtas för att förhindra spam och bedrägerier. Dessa säkerhetskrav kommer att gälla särskilt för konton som skickar stora volymer e-postmeddelanden per dag, till exempel sjukvårdsorganisationer, som bland annat måste ha DMARC-autentiseringsprotokollet implementerat. Underlåtenhet att följa kraven kommer att avsevärt påverka leveransen av legitima meddelanden till kunder med Gmail- och Yahoo-konton.