90 procent sklepów online naraża klientów na phishing
Phishing nadal pozostaje jednym z najczęstszych sposobów wykorzystywanych przez cyberprzestępców do kradzieży danych. Eksperci z firmy Bitdefender ostrzegają, że w bieżącym roku najczęstszymi ofiarami tego typu ataków mogą być klienci sklepów internetowych.
Najnowsze dane opublikowane przez ekspertów zajmujących się analizą poczty elektronicznej pokazują, iż sklepy internetowe narażają swoich klientów na duże ryzyko związane z utratą danych, a w dalszej konsekwencji środków finansowych.
Phishing pozwala na wyłudzanie informacji na temat nazw użytkowników, haseł czy numerów kart kredytowych. Mechanizm ataku nie zmienia się od lat - odbiorca otrzymuje wiadomość e-mail pochodzącą rzekomo z prawdziwej instytucji np. banku z prośbą o zalogowanie się na własne konto lub dostarczenie użytkownikowi loginu i hasła. Fałszywy adres e-mail do złudzenia przypomina autentyczny, aby skłonić adresata do przekazania napastnikom informacji. Cyberprzestępcy używają pozyskane dane, aby zalogować się na konto ofiary i wykraść środki finansowe.
Ataki typu phishing oraz spoofing zawdzięczają swoją skuteczność słabemu uwierzytelnianiu poczty elektronicznej. Z analiz e-mail przeprowadzonych przez firmę 250ok wynika, że prawie wszyscy najwięksi detaliści w USA i Europie wypadają w tej kategorii niemal zawstydzająco. Niemal 88 proc. domen głównych należących do najbardziej popularnych sprzedawców internetowych w Stanach Zjednoczonych i na Starym Kontynencie naraża konsumentów na ryzyko kradzieży danych za pomocą phishingu. Firma analizowała 3,3 tys, domen należących 1000 sprzedawców internetowych z USA i 500 z Unii Europejskiej. Większość z nich korzysta z pewnego poziomu uwierzytelniania poczty elektronicznej. Jednak lwia część sklepów online wykazuje niekonsekwencje w zakresie nadzoru nad wieloma domenami będącymi ich własnością. Zaledwie 11-12 procent najpopularniejszych domen spełnia zalecany, minimalny protokół dla kanału e-mail.
"Nie publikując podstawowych rekordów uwierzytelniania, takich jak SPF i DMARC dla wszystkich działających domen, detaliści są ślepi na potencjalne nadużycia nazw domen swoich marek. W ten sposób niszczą swój wizerunek i narażają na niebezpieczeństwo klienta" – tłumaczy Mariusz Politowicz, certyfikowany inżynier rozwiązań Bitdefender w Polsce.
Około 91 procent cyberataków zaczyna się od e-maili phishingowych. Od 25 maja zaczną obowiązywać przepisy RODO, a jeśli sprzedawcy internetowi do tego czasu nie wdrożą odpowiednich zabezpieczeń, grożą im bardzo wysokie kary.
"W ubiegłym roku Google wspólnie z University of California w Berkeley przeprowadziło badania, które miały na celu lepiej zrozumieć metody jakimi posługują się napastnicy. Okazało się, że począwszy od marca 2016 do marca 2017 cyberprzestępcy wykorzystali 12 milionów poświadczeń uzyskanych w wyniku phishingu" – mówi Mariusz Politowicz.
