Фишинговые и фальшивые сообщения электронной почты затрагивают организации любого размера. Их эффект не ограничивается рисками безопасности, но отражается и на маркетологах. Фирма Return Path, специализирующаяся на доставке электронной почты, изучила вызываемые фишингом издержки для маркетологов. В отчете показаны широкие последствия фишинговых кампаний.
Согласно анализу Return Path, доверие потребителей к бренду, который был использован в ходе фишинговой атаки, падает. Если они были обмануты фишинговым сообщением, приписанным какому-либо бренду, вероятность того, что они откроют подлинное сообщение с тем же брендом, уменьшается. Так, по сравнению с брендами, не задействованными в фишинге, средняя доля прочитанных сообщений после фишинговой атаки с использованием Gmail снизилась на 18%, а в аналогичном случае с Yahoo — на 11%.
Наличие связи между фишингом и поведением потребителей не так уж поражает воображение. Но в ходе исследования было обнаружение и кое-что интересное.
«Больше всего нас удивил разрыв между восприятием проблемы фишинга маркетологами и реальным положением дел», — заявила вице-президент Return Path по маркетингу и защите от мошеннических сообщений Эстель Деруэ.
Исследователи обнаружили, что 81% маркетологов были бы озабочены или весьма озабочены, если бы клиенты получили вредоносное сообщение электронной почты с использованием их бренда. Однако лишь 32% маркетологов заявили, что защита электронной почты является для них высшим приоритетом в 2016 г. «Это заставляет нас предположить, что большинство маркетологов считает, будто мошенничества с использованием электронной почты к их компаниям отношения не имеют», — сказала Деруэ.
Она добавила, что Return Path проанализировала последствия попадания 71 бренда в почтовые ящики Gmail и Yahoo в течение
По ее словам, исследование Return Path выявило, что 76% опрошенных маркетологов не знают или мало знают о фишинговых атаках с использованием их бренда. К числу проблем, с которыми сталкиваются законные владельцы брендов, относится и то, что фишинговые атаки не всегда происходят по их вине.
«Даже если обладатель бренда имеет самую безопасную программу электронной почты, сохраняется определенная вероятность столкнуться с фишингом, — сказала Деруэ. — Именно бренды не реализуют новейшие и мощнейшие средства аутентификации электронной почты, что подвергает риску их легитимную почту».
Деруэ отметила, что провайдеры электронной почты, такие как Google и Yahoo, напротив, в первую очередь озабочены тем, чтобы обеспечить своим пользователям максимум удобств, предотвращая появление в их почтовых ящиках вредоносных сообщений и помещая в них легитимные. «Такие компании внимательно следят за поведением пользователей и на основе этой информации принимают решения, — сказала она. — Если многие пользователи начинают помечать сообщения с тем или иным брендом как вредоносные или как спам, а у обладателя бренда нет адекватных средств аутентификации, репутации отправителя будет нанесен урон. В результате возрастет вероятность, что легитимная почта будет заблокирована».
Существует целый ряд основанных на стандартах подходов, призванных помочь организациям доставлять прошедшую аутентификацию электронную почту, в т. ч. протокол DMARC (Domain Message Authentication Reporting and Conformance). Однако, по словам Деруэ, DMARC многих пугает, особенно тех из нас, кто не имеет технической подготовки. «Но это, вне всякого сомнения, лучшая из имеющихся технологий для борьбы со спуфингом доменов», — сказала она.
По мнению Деруэ, DMARC заблокирует любое сообщение, каким бы сложным оно ни было, прежде чем оно попадет к пользователю, если в нем подменен домен компании в видимом поле адреса отправителя (например, From: Sender <sender@YourCompany.com>).
Возможность блокировки фишинговых сообщений прежде чем они попадут в почтовые ящики пользователей, это большое дело. «Как показано в нашем отчете, пользователи довольно плохо идентифицируют сегодняшний класс фишинговых сообщений, — пояснила Деруэ. — 97% получателей откроют вредоносное сообщение, а 45% пользователей предоставят личную информацию в ходе фишинговой аферы».
Деруэ надеется, что маркетологи начнут понимать не только то, что фишинг отражается на их клиентах, но и то, что они должны помогать в решении этой проблемы.
«Мошенничество с использованием электронной почты — это проблема бизнеса, а не только проблема ИТ или безопасности, — уверена Деруэ. — Убыток от непринятия мер по поводу фишинга нетерпим для компаний».