大多数在线零售网站将客户面临网络钓鱼风险
近90%的欧盟和美国顶级在线零售商经营的根域名正在将其品牌和消费者造成危险的攻击。
这是基于对500强欧盟和1,000名美国在线零售商的3,300个域通过电子邮件分析和DMARC合规性公司250ok进行分析的主要发现。
当公司没有发布的发件人策略框架(SPF)或基于域的消息身份验证,报告和一致性(DMARC)策略时,对消费者的欺骗攻击很可能是最有可能的。
SPF是一种电子邮件验证系统,可检测欺骗尝试,或者使用假冒电子邮件地址伪装为特定发件人的第三方。DMARC是一种用于电子邮件验证的行业标准,以防止此类攻击,并用于保护美国和英国政府域名。
DMARC协议在广泛的部署策略框架(SPF)和域键上标识到邮件(DKIM)协议,以验证电子邮件发件人并识别欺诈性电子邮件,添加允许发件人和接收者从欺诈性电子邮件提高和监视域保护的报告功能。
DMARC使组织能够通过指定哪些IP地址电子邮件来控制其域名,以及它将签名的加密密钥。如果未满足其中的任何一个条件,则组织可以选择使用对组织的警报提供不合格的电子邮件,并使用警报隔离或阻止警报。
无论组织选择哪种选项,假装都是从该组织进行网络钓鱼或其他网络犯罪目的的所有电子邮件都不会达到预期的受害者。
虽然大多数零售商在其域上使用某些级别的电子邮件身份验证,但该报告显示许多在他们控制的所有域中的方法中的方法不一致。只有11.3%的美国零售商的11.3%,12.2%的顶级欧盟零售商域会迎接250欧元的电子邮件频道的最低议定书:
发布所有域的SPF记录可确保SPF记录有效,没有错误发布所有域的DMARC策略“通过失败发布SPF的基本身份验证记录和他们操作的所有域的DMARC记录,零售商对其品牌域名的潜在滥用盲目,”250ok的隐私主任Matthew Vernhout说。“它留下了品牌和消费者不必要地接触到损害品牌信任的网络钓鱼攻击。”
反网络钓鱼工作组2017年的一项研究报告称,2017年上半年的网络钓鱼袭击平均每月443个品牌,比上年同期每月413人。
根据250OK的报告,这些攻击是对品牌信任的威胁,因为91%的网络攻击都以网络钓鱼电子邮件开始。
“时间又一次,我们看到网络钓鱼是最常见的网络风险之一,”全球网络联盟的业务总监Shehzad Mirza表示。
“DMARC保护消费者和企业的一些最差类型的网络钓鱼。保护的价值是,英国和美国各国政府都授权各自的政府域名实施DMARC。我们敦促所有各国政府和企业做同样的事情,“他说。
为了支持保护消费者和全球企业的电子邮件计划,250OK在2018年为2018年2月结束之前注册的所有新客户提供了自由用法的DMARC软件。
“这是一个时刻,我们有机会对消费者和品牌的安全产生真正的影响,”格雷格·克莱索斯(Greg Kraios)表示,250OK。“通过提供免费访问我们的DMARC软件,我们希望在降低2018年及以后的网络钓鱼攻击方面发挥有意义的作用。最终,由于在他们的品牌中的消费者信任更强,我们预计营销人员会看到电子邮件参与的改进。“