En ny undersökning från Proofpoint visar att 70 procent av de största e-handelssajterna saknar tillräckligt skydd, vilket gör det möjligt för cyberkriminella att skicka falska mejl i deras namn till ovetande Black Friday-kunder
Cybersäkerhetsföretaget Proofpoint släpper idag data som analyserar skyddet mot domänspoofing hos de 20 största e-handelssajterna i Sverige. Av de undersökta sajterna når bara 30 procent upp till den högsta nivån av DMARC-skydd (Domain-based Message Authentication, Reporting & Conformance) och så många som 20 procent har inte implementerat någon nivå av DMARC.
Samtidigt har Proofpoint genomfört samma analys på de största aktörerna inom logistik och leveranser i Norden och resultatet ser ungefär lika mörkt ut där, 45 procent saknar helt DMARC och bara 25 procent når upp till den högsta nivån.
– Den här typen av falska e-postmeddelanden, eller spoofing som det ofta kallas, har ökat stadigt de senaste åren. E-handelssajter är en naturlig måltavla för cyberkriminella och självklart är det särskilt intressant för brottslingarna under perioder där handeln är som störst. Vi har också sett att man utnyttjar både e-handlare och logistikföretag för att lura användare till att klicka på skadliga länkar och lämna ifrån sig känslig information, säger Annika Westlund, Nordenchef på Proofpoint.
Avsaknaden av ett sådant skydd gör att de cyberkriminella kan skicka mejl som ser ut att komma från e-handlaren, och ökar därmed risken för att kunder utsätts för bedrägeri. DMARC-skyddet förhindrar helt enkelt att mejl som skickas från en falsk e-postadress, som ser ut att tillhöra ett riktigt företag, når fram till mottagaren. När en domän har DMARC-skydd analyseras varje mejl som sänds ut för att säkerställa att avsändaren är kopplad till domänen. Utan skyddet kan vem som helst sända ut ett mejl med falsk avsändaradress som ser ut att vara legitim.
Årets Black Friday och julhandel präglas av ekonomisk osäkerhet i omvärlden, med höjda energipriser och högre räntor, vilket väntas leda till att konsumenterna håller lite extra i sina slantar. Men samtidigt finns en stor tilltro bland e-handlare och butikskedjor att det trånga ekonomiska läget kommer att ge en extra skjuts till de stora rea-händelserna och i PostNords E-barometer för 2022 anger 21 procent av de tillfrågade e-handlarna att de tror på en försäljningsökning jämfört med förra året.
När Proofpoint genomförde en liknande undersökning inför förra årets Black Friday – då bland de 100 största e-handlarna i Sverige hade bara en av tio av de undersökta sajterna den högsta graden av DMARC-skydd och 53 procent saknade skyddet helt.
– Det är självklart glädjande att se att medvetenheten kring DMARC och vikten av att skydda sig och sina kunder mot domänspoofing ökar. Men samtidigt ser vi att även om många tagit de första stegen och börjat implementera ett skydd, men inte tagit det hela vägen till ”reject” som är den nivå vi rekommenderar, säger Annika Westlund.
Nyckeltal från undersökningen:
80 procent av de 20 största e-handelssajterna i Sverige har någon grad av DMARC aktiverat, vilket gör att 20 procent är helt oskyddade från domänspoofing.
Bara 30 procent av de undersökta e-handelssajterna har den starkaste formen av skydd, där falska e-postmeddelanden i företagsdomänens namn blockeras från att nå mottagaren, vilket innebär att 70 procent av sajterna inte proaktivt stoppar falska mejl riktade till kunder.
Bland de etablerade aktörerna inom logistik och leveranser saknar 45 procent helt DMARC och bara 25 procent når upp till den rekommenderade nivån.
Metodologi: Proofpoint har uppmätt förekomsten och nivån av DMARC-skydd på de 20 största e-handelssajterna i Norden baserat på omsättning, samt på 17 stora företag inom logistik- och budföretag som är verksamma i regionen. Undersökningen genomfördes i november 2022.
TIPS: Så e-handlar du julklapparna säkert
ANVÄND STARKA LÖSENORD
Återanvänd inte gamla lösenord. Överväg att använda en lösenordshanterare för att göra det så enkelt som möjligt att hålla dig säker.
UNDVIK OSKYDDADE NÄTVERK
Gratis trådlösa nätverk är ofta oskyddade och cyberbrottslingar kan fånga upp data som skickas över dem och få tillgång till t ex kreditkortsnummer, lösenord och kontoinformation. De flesta med en modern telefon kan istället använda internetdelning och ansluta sin dator eller surfplatta den vägen.
SE UPP FÖR FEJKADE SAJTER
Det finns gott om fejksajter som utger sig för att vara populära butiker. De kanske säljer piratkopior, är fulla av skadlig kod eller helt enkelt stjäl dina pengar – eller kontouppgifter.
VAR SÄKER PÅ AVSÄNDAREN
Nätfiske-mejl leder till osäkra webbsidor som stjäl personlig information. Se upp för SMS-fiske också – så kallad ”smishing” – och var vaksam för meddelanden i sociala kanaler – de används också till phishing i stor utsträckning.
KLICKA INTE PÅ LÄNKAR
Hittat ett lockande erbjudande I ett mejl eller sms? Gå direkt till ursprungskällan genom att skriva in en känd adress till företaget i fråga direkt i webbläsaren, och testa rabattkoden i kassan för att se till att den inte är en bluff.
BEKRÄFTA INNAN DU BESTÄLLER
Bedrägliga annonser, sajter och mobilappar kan vara svåra att upptäcka. När du laddar ner en ny app, eller besöker en okänd sajt, ta dig tid att läsa recensioner och titta på hur länge tjänsten funnits och hur nyligen den uppdaterats. Många negativa omdömen, nylanserad tjänst eller sida som inte uppdaterats är samtliga indikationer på möjliga bedrägerier.
