Email-i mbetet vektori kryesor i sulmeve kibernetike. Suksesi i sulmeve përmes email-it nuk vjen sepse teknologjia është e dobët, por sepse objektiv janë njerëzit, të cilët nën presion bëjnë gabime.
Kompromentimi i Email-it të Biznesit (BEC) është një sulm specifik i cili, sipas FBI-së, vetëm në vitin 2024 ka shkaktuar një dëm prej 2.77 miliardë dollarësh dhe përbën 73% të të gjitha sulmeve të raportuara në SHBA. Rreth 80% e rrjedhjeve të të dhënave e kanë fillesën te një punonjës që bie pre e një email-i phishing.
Në vitin 2025, 40% e email-eve phishing ishin krijuar nga inteligjenca artificiale, duke rritur nivelin e sofistikimit në atë shkallë sa edhe mjetet tradicionale anti-spam e kanë të vështirë identifikimin e tyre.
Megjithatë, duke marrë masat e duhura, shumica e sulmeve që kryhen përmes email-it mund të ndalohen. Më poshtë janë shtatë masa që çdo biznes duhet të marrë për të mbrojtur sistemet nga këto sulme.
1. Konfigurimi i SPF, DKIM dhe DMARC
Këto tre protokolle janë themeli i sigurisë së komunikimeve email. Pa to, cilido mund të dërgojë email në emrin tuaj dhe klientët nuk mund të dallojnë nëse email-i është dërguar nga ju apo jo.
SPF (Sender Policy Framework) është një rekord DNS i publikuar nga zotëruesi i domain-it. Ky rekord afishon serverat e autorizuar për të dërguar email në emër të domain-it tuaj. Kur serveri i marrësit merr një email nga domain-i juaj, ai kontrollon listën e serverave të autorizuar të publikuar nga dërguesi. Nëse email-i nuk vjen nga një server i autorizuar, ai refuzohet ose shënohet si spam.
DKIM (DomainKeys Identified Mail) i bashkëngjit një firmë dixhitale çdo email-i të dërguar. Serveri i marrësit verifikon firmën dixhitale përmes çelësit publik të publikuar në rekordet DNS të dërguesit. Nëse email-i do të ndryshohej gjatë rrugës, verifikimi i firmës dixhitale do të dështonte, duke provuar manipulimin e email-it gjatë transmetimit nga palë të paautorizuara.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) lidh SPF dhe DKIM së bashku, duke e udhëzuar serverin marrës se si duhet të sillet kur dështon autentikimi. Gjithashtu, DMARC udhëzon serverat e email-it që të raportojnë përpjekjet e palëve që tentojnë të dërgojnë email-e në emrin tuaj.
Prej vitit 2026, DMARC është i detyrueshëm nga shërbimet kryesore të email-it. Google, Yahoo dhe Microsoft refuzojnë email-et e dërguara në masë nga dërgues të pa-autentikuar. Standardi PCI DSS v4.0 e kërkon vendosjen e DMARC për bizneset që trajtojnë të dhëna të kartave të kreditit. Megjithatë, deri në kohën e shkrimit të këtij artikulli, vetëm 11% e domain-eve kanë aktivizuar DMARC për të refuzuar email-et e pa-autentikuara.
Si të veproni: Verifikoni konfigurimin e SPF, DKIM dhe DMARC të domain-it që menaxhoni. Nëse nuk janë të konfiguruara, filloni me SPF dhe DKIM. Më pas konfiguroni DMARC me një politikë “liberale” p=none për të monitoruar email-et që dërgohen në emrin tuaj. Pasi të siguroheni që konfigurimi është korrekt, kaloni gradualisht në ‘p=quarantine’ dhe më pas në ‘p=reject’.
Nëse nuk keni staf teknik për këtë proces, ne e mbulojmë të gjithë konfigurimin për ju përmes shërbimit tonë ‘Siguria e email-it dhe anti-phishing’
2. Aktivizimi i autentikimit me shumë faktorë (MFA)
Fjalëkalimi që përdorni për të hapur email-in NUK MJAFTON. Sulmet phishing, ku dikush ju mashtron për të vendosur fjalëkalimin në një faqe të rreme interneti, zënë 74% të të gjitha sulmeve BEC në vitin 2025. Me të shtënë në dorë fjalëkalimin tuaj, hakerat aksesojnë email-in tuaj, lexojnë bisedat tuaja dhe qëndrojnë në pritje për të ndërhyrë në momentin e duhur.
Autentikimi me shumë faktorë është një element i shtuar për mbrojtjen e llogarisë tuaj. Ai shton një faktor shtesë autentikimi (p.sh një kod që vjen në telefon), përveç fjalëkalimit. Edhe nëse dikush ka fjalëkalimin tuaj, do t’i duhej të kishte edhe telefonin tuaj për të aksesuar email-in. Kjo masë eliminon pjesën më të madhe të sulmeve ndaj kredencialeve.
Megjithatë, edhe kjo masë nuk është 100% e pacënueshme. Në vitin 2025, sulmet AitM (adversary-in-the-middle), të cilat vjedhin cookie-t e sesionit, patën një rritje me 146%. Këto sulme shfrytëzonin platforma si Tycoon 2FA, e cila interceptonte vetë procesin e autentikimit me shumë faktorë duke kapur token-in e sesionit pas autentikimit.
Si të veproni: Aktivizoni MFA në çdo llogari email-i që zotëroni, pa përjashtim. Për shërbime që kërkojnë mbrojtje më të sofistikuar, përdorni çelësa sigurie hardware (p.sh. FIDO2) në vend të përdorimit të SMS. Këta çelësa janë të lidhur në mënyrë kriptografike me faqen autentike dhe nuk funksionojnë në një faqe të rreme logimi.
3. Trajnimi i stafit për dallimin e sulmeve phishing
Përmes teknologjisë mund të shmangen shumë sulme, por sulmet e suksesshme ndërtohen posaçërisht për të mashtruar individët. Kompanitë që e marrin seriozisht sigurinë trajnojnë stafin që të dallojë një email të dyshimtë.
Sulmet moderne phishing kanë ndryshuar shumë që nga koha e “biznesmenit që ju kishte lënë trashëgimi pasurinë e tij”. Sot, sulmet phishing ndërtohen me inteligjencë artificiale, duke krijuar skenarë të besueshëm, pa gabime gramatikore, të dërguara në orarin e duhur dhe duke imituar në mënyrë pothuajse perfekte email-e legjitime.
Aktorët e kërcënimit (hakerat) studiojnë në detaje natyrën e komunikimeve të objektivit, stilin e shkrimit dhe shumë tipare të tjera. Email-et mashtruese dërgohen në orare specifike, për shembull në orët e para të ditës së hënë, kur posta elektronike është e mbushur dhe përdoruesi është më i predispozuar për të bërë gabime.
Të dhënat janë të qarta: kompanitë që e marrin seriozisht sigurinë kryejnë rregullisht sulme të simuluara phishing ndaj punonjësve të tyre, duke i reduktuar sulmet e suksesshme deri në masën 5%. Gjashtë muaj pas trajnimit, gjysma e stafit raporton sulme reale phishing; pas një viti, dy të tretat e stafit i raportojnë me sukses këto sulme.
Si të veproni: Kryeni rregullisht sulme phishing të simuluara duke krijuar skenarë të besueshëm. Çdo klikim i gabuar duhet të trajtohet si një mësim për t’u marrë, jo si një ndëshkim. Kompanitë duhet të ndërtojnë një kulturë ku raportimi i email-eve të dyshimta vlerësohet pozitivisht dhe jo si dobësi.
Stafi duhet të trajnohet të dyshojë kur email-et kanë karakteristika si:
- urgjencë e papritur
- kërkesa për ndryshimin e të dhënave financiare
- email-e nga adresa të dyshimta, por të ngjashme me adresa të njohura
- lidhje (linke) që të çojnë në faqe të ndryshme nga ato që pretendohet
4. Vendosja e proceseve të verifikimit për email-et që përmbajnë kërkesa financiare
Sulmet më të rënda përmes email-it shfrytëzojnë besimin e përdoruesve, jo viruse.
Në një sulm tipik BEC, një haker mund të kompromentojë një adresë origjinale email-i (me kredenciale të vjedhura) ose të bindë dikë përmes mashtrimit. Hakeri arrin të bëhet pjesë e një komunikimi ekzistues duke manipuluar të dhënat e faturave elektronike. Zakonisht manipulimi konsiston në ndryshimin e të dhënave bankare.
Duke qenë se email-i vjen nga një burim “i besueshëm” dhe i referohet një transaksioni real, viktima nuk dyshon në vërtetësinë e tij.
Një variant tjetër i sulmit përmes email-it quhet VEC (Vendor Email Compromise), ku hakeri kompromenton email-in e një furnitori (produktesh ose shërbimesh). Hakeri monitoron komunikimet ku përfshihen transaksione financiare dhe më pas, nga kjo adresë e kompromentuar, u dërgon klientëve fatura të modifikuara.
Si të veproni: Kompanitë duhet të implementojnë kontrolle të detyrueshme për verifikimin e çdo kërkese për ndryshimin e të dhënave të llogarive bankare, veçanërisht kur transaksionet kalojnë një limit të caktuar ose kur një furnitor ndryshon mënyrën e pagesës.
Verifikimet duhet të kryhen në kanale të ndryshme komunikimi (jo përmes email-it), duke telefonuar kërkuesin e ndryshimit, duke u takuar fizikisht ose përmes një metode të paracaktuar verifikimi.
Këto masa të thjeshta, të zbatuara me rigorozitet, eliminojnë shumicën e sulmeve BEC.
5. Sigurimi i pajisjeve fundore ku konfigurohet email-i
Autentikimi i sigurt i email-it dhe një staf i mirëtrajnuar janë masa të padobishme nëse kompromentohen vetë pajisjet. Nëse një haker fiton akses në telefonin apo kompjuterin e përdoruesit, mund të lexojë email-et pas dekriptimit, të zbulojë kredencialet dhe të dërgojë email-e në emër të përdoruesit.
Në vitin 2025, disa vulnerabilitete zero-day (të pazbuluara më parë publikisht) në sistemet iOS dhe Android shfrytëzonin aplikacionet e mesazheve për të kompromentuar pajisjet. I njëjti parim vlen edhe për email-in: një virus i bashkëngjitur në email ose një link i klikuar mund të shfrytëzojë dobësi të aplikacionit të email-it (si p.sh. Outlook) ose të sistemit operativ për të fituar kontroll të plotë mbi pajisjen.
Si të veproni: Përditësoni rregullisht dhe në kohë aplikacionet dhe sistemin operativ të pajisjeve tuaja. Përditësimet automatike duhet të aktivizohen kudo ku është e mundur.
Pajisjet ku konfigurohen email-e biznesi duhet të mbrohen me antivirus/EDR dhe ekranet e tyre duhet të kyçen automatikisht.
Në pajisjet mobile duhet të përdoren gjithmonë aplikacione të mirënjohura për konfigurimin e email-it. Çaktivizoni shkarkimin automatik të skedarëve të bashkëngjitur (attachments) në email.
6. Filtrimi i email-eve dhe mbrojtja Anti-Spam
Kompanitë e shërbimeve email kanë disa masa bazike për identifikimin e spam-it, të cilat nuk mjaftojnë për sulmet e sofistikuara me të cilat përballen bizneset. Mbrojtjet moderne duhet të shkojnë përtej filtrave bazikë, duke përfshirë analiza të sjelljes (behavioral analysis) dhe izolim të URL-ve (URL sandboxing).
Microsoft 365 skanon afërsisht 5 miliardë email-e në ditë, dhe megjithatë sulmet arrijnë t’i kalojnë këto kontrolle. Asnjë kontroll nuk mund ta mbrojë sistemin i vetëm, për pasojë mbrojtja ndaj sulmeve përmes email-it duhet të realizohet në disa shtresa. Mbrojtja me shumë shtresa është e vetmja qasje që funksionon.
Si të veproni: Verifikoni masat e sigurisë së shërbimit tuaj email (Microsoft, Gmail, etj.) dhe sigurohuni që teknikat e avancuara të mbrojtjes të jenë të aktivizuara. Këto masa zakonisht nuk janë të aktivizuara automatikisht.
Aktivizoni ‘URL rewriting’ dhe ‘time-of-click’, në mënyrë që linket në email të skanohen dhe të rishkruhen nëse nuk janë të sigurta.
Aktivizoni izolimin e skedarëve të bashkëngjitur (attachment sandboxing). Bllokoni ekzekutimin e skedarëve të ekzekutueshëm (.exe, .scr, .bat) që vijnë të bashkëngjitur në email.
Vendosni një mesazh paralajmërues (banner) për çdo email që vjen nga jashtë kompanisë, për të ndërgjegjësuar stafin që të tregojë kujdes me këto komunikime.
7. Pasja e një plani në rast sulmi të suksesshëm
Pavarësisht të gjitha masave, dikush do të klikojë gabimisht një link apo do të hapë një skedar që nuk duhet. Reagimi në 30 minutat e para të sulmit përcakton nëse incidenti do të mbetet i vogël apo do të kthehet në një rrjedhje masive të dhënash.
Sa më e shpejtë koha e reagimit, aq më i ulët dëmi ekonomik. Sipas IBM, rastet e zbuluara 200 ditë pas fillimit të sulmit kanë një kosto shtesë prej 1.2 milion dollarësh.
Si të veproni: Kompanitë duhet të zhvillojnë një plan të thjeshtë reagimi ndaj incidenteve, i cili duhet të ndahet me çdo punonjës. Plani duhet të përfshijë:
- Shkëputjen e menjëhershme të pajisjes nga rrjeti (fikjen e Wi-Fi, heqjen e kabllit të rrjetit ose çaktivizimin e lidhjes mobile si 4G/5G)
- Mos e fikni pajisjen (ruajtja e provave është e rëndësishme)
- Njoftimin e menjëhershëm të stafit IT ose të sigurisë kibernetike
- Ndryshimin e fjalëkalimit të llogarisë së kompromentuar nga një pajisje tjetër
- Verifikimin nëse MFA është aktivizuar nga një vendndodhje e panjohur
- Nëse llogaria/pajisja e kompromentuar ka akses në të dhëna financiare, duhet të kryhet verifikimi i menjëhershëm i transaksioneve të fundit dhe të njoftohen bankat apo palët e interesuara
Plani duhet të dokumentohet dhe kompania duhet të sigurohet që të gjithë ta kenë të lehtë aksesin në të. Koha më e keqe për të kërkuar planin e reagimit ndaj incidenteve është gjatë vetë incidentit.
Shërbimi ynë i përgjigjes ndaj incidenteve i siguron bizneseve plane të dedikuara reagimi dhe suport të vazhdueshëm aty ku nevojitet më shumë.
Përfundim
Siguria e email-it nuk është një masë e vetme që kompania duhet të marrë, por një kombinim i shtatë elementeve që funksionojnë së bashku. SPF, DKIM dhe DMARC mbrojnë domain-in. MFA mbron llogarinë. Trajnimi mbron individin. Verifikimi i procedurave mbron financat. Siguria e pajisjeve fundore mbron pajisjet. Filtrimi i email-eve redukton numrin e kërcënimeve. Plani për përgjigjen ndaj incidenteve kufizon dëmet kur masat e mësipërme dështojnë.
Asnjë masë e vetme nuk mjafton. Por të gjitha së bashku reduktojnë rrezikun dhe ndikimin e dëmeve.
Burimet:
- FBI — Business Email Compromise
- Verizon — 2025 Data Breach Investigations Report (DBIR)
- IBM — Cost of a Data Breach Report 2025
- Google Workspace — Set up DMARC
- Red Sift — Global Mandates and Guidance for DMARC in 2026
- Foley Hoag LLP — “Business Email Compromises: Current Legal Trends” (April 2026)
