Analysen är baserad på en Domain-based Message Authentication, Reporting & Conformance (DMARC)-analys över de banker, finansbolag och bostadsinstitut (hypotekbolag) som är medlemmar i Svenska Bankföreningen. DMARC är ett väletablerat valideringsprotokoll designat för att förhindra att domännamn missbrukas av nätkriminella. Det säkerställer användarens identitet innan ett meddelande tillåts nå mottagaren. DMARC har tre nivåer av skydd – monitor, quarantine och reject, där reject är den mest säkra för att förhindra misstänkt epost att nå inboxen. Det framgår av ett pressmeddelande.

När en domän har DMARC-skydd analyseras varje mejl som sänds ut för att säkerställa att avsändaren är kopplad till domänen. Utan skyddet kan vem som helst sända ut ett mejl med falsk avsändaradress som ser ut att vara legitim.

Att just finansinstitut som banker saknar tillräckligt skydd är allvarligt, menar Mikael Järpenge, cybersäkerhetsexpert på Proofpoint.

– Att privatpersoner luras av kriminella till att logga in på sina bankkontot och föra över stora summor pengar är ett samhällsproblem som det länge rapporterats om. Just därför är det så viktigt att finansinstitut säkrar upp sina kommunikationsvägar, säger han i en skriftlig kommentar.

När Proofpoint genomförde en liknande undersökning 2021 hade 77 procent av de ledande finansinstituten i Sverige valt bort den mest säkra nivån av DMARC-skydd medan 30 procent inte tog något initiativ alls.

Under 2024 har Google, Apple och Yahoo! infört krav på autentiseringsprotokoll som DMARC för att förhindra missbruk av e-post från skadliga aktörer.