Risico op e-mailfraude tijdens feestdagen

Uit onderzoek van Proofpoint blijkt dat 33 procent van de dertig grootste online retailers in Nederland geen Domain-based Message Authentication, Reporting & Conformance (DMARC)-record heeft gepubliceerd. Dit maakt hen vatbaar voor cybercriminelen die hun identiteit spoofen (vervalsen) en verhoogt het risico op e-mailfraude voor hun klanten. Ook zorgwekkend is dat slechts 7 procent het strengste en aanbevolen DMARC-beschermingsniveau heeft geïmplementeerd. Deze blokkeert op actieve wijze frauduleuze e-mails zodat die hun beoogde doelwit niet bereiken. Dat betekent dat bij de andere 93% van de dertig grootste retailers in Nederland consumenten risico lopen op e-mailfraude.

Tijdens de feestdagen scannen consumenten zowel het internet als hun inbox scannen op zoek naar de beste deals. Cybercriminelen kunnen profiteren van de verwachte e-mailcommunicatie van retailers om potentiële kopers met frauduleuze e-mails te misleiden.

“E-mail blijft de favoriete aanvalstactiek voor cybercriminelen en de retailsector blijft een belangrijk doelwit. Proofpoint-onderzoekers zagen in 2018 zelfs een toename van 144% van het aantal frauduleuze e-mailaanvallen op de detailhandel”, aldus Jim Cox, regional director Benelux bij Proofpoint. “Door niet de eenvoudige, effectieve best practices voor e-mailverificatie toe te passen, stellen online retailers zichzelf en hun klanten bloot aan cybercriminelen die op zoek zijn naar persoonlijke en financiële gegevens”.

De belangrijkste resultaten van het onderzoek zijn:
● 67 procent van de dertig grootste online retailers in Nederland heeft een DMARC-record gepubliceerd, waardoor 33 procent kwetsbaar is voor frauduleuze e-mails/domeinspoofing.
● Slechts 7 procent van de dertig grootste Nederlandse online retailers blokkeert proactief frauduleuze e-mails zodat deze klanten niet bereiken (wat ze volledig DMARC-compliant maakt). Dit betekent dat bij 93 procent van hen consumenten risico lopen op e-mailfraude.
● Nederlandse online retailers liggen achter op het gemiddelde van de aanbevolen DMARC-bescherming binnen de Europese e-commerce-sector. 15 procent van de twintig grootste online retailers in Europa blokkeert proactief frauduleuze e-mailberichten voordat deze klanten bereiken. Dit houdt in dat 85% van de grootste online retailers in Europa hun klanten blootstelt aan frauduleuze e-mails.

“Organisaties in alle sectoren moeten authenticatieprotocollen zoals DMARC implementeren om zich beter te wapenen tegen e-mailfraude. Cybercriminelen zullen altijd gebruikmaken van grote evenementen om gerichte aanvallen te doen met behulp van social engineering-technieken. Online retailers vormen hierop geen uitzondering. Tijdens de feestdagen moeten consumenten extra alert zijn bij het beoordelen van de geldigheid van alle e-mails. Zeker op dagen dat consumenten minder goed opletten omdat ze hun aandacht richten op het doen van de beste koopjes”, zegt Jim Cox.

Proofpoints Domain Fraud Report 2019 laat ook zien hoe intensief e-mail wordt gebruikt in de retailsector als aanvalstactiek. Het rapport laat zien dat frauduleuze domeinen die zich voordoen als zeer herkenbare retailmerken relatief veel meer e-mails versturen. Dit wijst op bredere aanvallen tegen klanten en partners.

Proofpoint raadt consumenten aan om de onderstaande tips te volgen om online veilig te blijven tijdens het winkelen:
1. Gebruik sterke wachtwoorden: Gebruik hetzelfde wachtwoord niet twee keer. Overweeg het gebruik van een digitale kluis voor een naadloze, veilige online ervaring.
2. Vermijd onbeveiligd wifi: Gratis/open wifi is niet veilig. Cybercriminelen kunnen gegevens die via onbeveiligd wifi worden verstuurd onderscheppen, zoals creditcardnummers, wachtwoorden, accountinformatie en meer.
3. Kijk uit voor “lookalike”-sites: Aanvallers creëren ‘lookalike’-sites die lijken op sites van bekende merken. Deze frauduleuze sites kunnen nagemaakte (of niet-bestaande) goederen verkopen, geïnfecteerd zijn met malware, of geld of inloggegevens stelen.
4. Ontwijk phishing- en smishing-aanvallen: Phishing-mails sturen gebruikers naar onveilige websites die persoonlijke gegevens verzamelen, zoals inloggegevens en creditcardgegevens. Pas ook op voor sms-phishing (smishing) of berichten via sociale media.
5. Klik niet op links: Ga rechtstreeks naar de bron van de geadverteerde aanbieding door een bekend webadres direct in de browser te typen. Voer speciale actiecodes in bij het afrekenen om te zien of ze legitiem zijn.
6. Controleer vóór je iets koopt: Frauduleuze advertenties, websites en mobiele apps zijn soms moeilijk te herkennen. Neem bij het downloaden van een nieuwe app of het bezoeken van een onbekende site de tijd om online recensies en eventuele klachten van klanten te lezen.