Vi granskade 659 svenska små och medelstora företag i sex branscher, helt utifrån och utan att röra deras system. Vi tittade bara på sådant som är publikt synligt: hur deras mejl, domän, webbplats och certifikat är uppsatta, på precis samma sätt som en utomstående, eller en bedragare, ser det.
Inget av det vi hittade betyder att någon "blivit hackad". Det är hur grundskyddet ser ut just nu, för vem som helst som tittar. Och det mest påfallande: de vanligaste bristerna är också de billigaste att åtgärda.
Vad vi menar med "går att förfalska mejl ifrån"
Det finns ett skydd som talar om för mottagarens mejlserver att kasta bort mejl som utger sig för att komma från ett företag men inte gör det. Är det inte påslaget kan en bedragare skicka ett mejl som ser ut att komma från företagets egen adress, till deras kunder eller leverantörer, och be dem betala en faktura till fel konto.
Av de 659 företagen hade bara 11 % det här skyddet ordentligt påslaget. Resten hade det antingen helt avstängt eller inställt i ett läge som bara övervakar men inte stoppar något. Det här är samtidigt en av de billigaste sakerna att åtgärda. Det kostar ingenting i licenser.
Per bransch
| Bransch | Antal | Förfalskbar | Har skydd | D el. sämre | Bluffdomän | Snitt |
|---|---|---|---|---|---|---|
| Tandläkare | 128 | 96 % | 4 % | 41 % | 9 % | 61 |
| Bygg | 123 | 90 % | 10 % | 54 % | 15 % | 55 |
| Mäklare | 101 | 89 % | 11 % | 39 % | 26 % | 63 |
| Advokat | 100 | 89 % | 11 % | 53 % | 9 % | 56 |
| E-handel | 107 | 86 % | 14 % | 22 % | 20 % | 69 |
| Redovisning | 100 | 84 % | 16 % | 53 % | 26 % | 57 |
| Alla | 659 | 89 % | 11 % | 44 % | 17 % | 60 |
- Tandläkare är sämst skyddade mot mejlförfalskning: 96 % går att förfalska. En klinik som hanterar patientuppgifter och kallelser är en självklar måltavla för bluffmejl.
- Bygg har de sämsta betygen totalt: mer än hälften får D eller sämre. Många system och underleverantörer, och då faller grundskyddet lätt mellan stolarna.
- Mäklare och redovisning har flest redan registrerade bluffdomäner (26 %). Branscher där stora summor rör sig via mejl, och där en förväxlingsbar adress är särskilt farlig vid handpenning eller utbetalningar.
- Advokatbyråer hanterar känsliga klientuppgifter, men nästan 9 av 10 går ändå att förfalska mejl ifrån och mer än hälften får D eller sämre. Ännu har dock få blivit måltavla för bluffdomäner (9 %), till skillnad från mäklare och redovisning.
- E-handel klarar sig bäst totalt, men även där går nästan 9 av 10 att förfalska mejl ifrån, och fler än 1 av 3 har problem med sina certifikat.
Samma mönster, om och om igen
Utöver mejlförfalskningen återkom samma brister i bransch efter bransch:
- 58 % saknar en av de vanligaste signeringsmetoderna för utgående mejl.
- 71 % saknar minst tre grundläggande säkerhetsinställningar på webbplatsen som skyddar besökaren i webbläsaren.
- 28 % har problem med sitt certifikat eller sin krypterade anslutning.
- 24 % har minst en känd sårbarhet kopplad till en server eller tjänst de syns köra utifrån.
Så gjorde vi
- Helt passivt och utifrån. Vi loggade aldrig in, testade aldrig några luckor och rörde aldrig företagens system. Allt bygger på publikt synlig information.
- 659 företag i sex branscher: tandläkare (128), bygg (123), e-handel (107), mäklare (101), advokatbyråer (100) och redovisning (100). Utvalda för bredd inom varje bransch, inte slumpmässigt ur hela registret.
- Inga företag namnges. Studien redovisar bara sammanställd statistik. Varje enskilt företag kan självt se sin egen bild via en säkerhetskoll.
- Sårbarheter är indikativa. De bygger på vad servrar och tjänster uppger om sig själva utifrån, en signal att kontrollera, inte ett bevis på att något går att utnyttja.
Vad ett företag kan göra
De tre vanligaste och billigaste sakerna att börja med:
- 1. Slå på skyddet mot mejlförfalskning så att det faktiskt stoppar, inte bara övervakar. Det här ensamt lyfter de flesta ur den utsatta 89-procentsgruppen.
- 2. Signera utgående mejl så att de är svårare att förfalska och oftare hamnar rätt hos mottagaren.
- 3. Sätt grundskyddet på webbplatsen och håll certifikatet i ordning.
Inget av detta kräver dyra verktyg. Det kräver mest att någon vet att det behöver göras, och det är just det den här studien visar att de flesta inte gör.
Hur ser ert företag ut för någon som tittar utifrån?
Studien bygger på samma analys, körd på 659 företag och sammanställd. Vill ni se var just ert företag landar får ni betyg och en åtgärdslista i klartext, samma dag.