Våra tidigare artiklar om Cloudflare har belyst hur företagets globala infrastruktur paradoxalt nog kan skydda cyberkriminella och hur Cloudflares egna processer brister när det gäller att hantera missbruk. Vi har sett att Cloudflares kostnadsfria plattformar för sidor och skript utnyttjas flitigt för nätfiske och spridning av skadeprogram, och att abuse-rapporter ofta möts av automatiska avslag i stället för snabb åtgärd. Kritiken har pekat på en ”blind fläck” hos Cloudflare: att företagets enorma räckvidd och affärsmodell ibland väger tyngre än proaktiv säkerhet.

Cloudflare står bakom var femte webbplats och lovar hastighet och säkerhet. Men samma infrastruktur döljer nu en industriell phishing-ekonomi. Under sex (6) månader analyserade vi mer än +600 falska domäner för tiquetesbaratos.com – flera av dem hostade på pages.dev eller workers.dev tillsammans med andra bedrägeridomäner som utnyttjar Cloudflares reverse-proxy DNS-tjänster. Anmälningar om missbruk möttes med samma kopierade avslag: “Kan inte bekräfta phishing.” Den här artikeln undersöker varför Cloudflares processer brister, hur denna brist göder kriminella och vad lagstiftare måste göra härnäst.

Vad har hänt sedan Excedo introducerade KYC för domännamnsregistranter i oktober 2024? Varför är artikel 28 fortfarande lika viktig?

NIS2-direktivet ställer nya krav på domännamnsregistrarer att få korrekt information om registranter för att minimera anonymiteten som möjliggör cyberbrottslighet.

Kraven i NIS2-direktivet är omfattande och behandlar många olika aspekter av digital säkerhet, inklusive e-postsäkerhet. För att organisationer ska kunna uppfylla de standarder för e-postsäkerhet som fastställs av NIS2 behöver de en korrekt konfigurerad DMARC-policy.

Anycast DNS ger den motståndskraft online som krävs enligt NIS2-direktivet. Den säkerställer att onlineresurser och -tjänster alltid är tillgängliga även när attacker inträffar genom att tillhandahålla flera routingalternativ som gör det möjligt att filtrera bort skadlig trafik.

Att implementera en DMARC-policy för mycket små organisationer är inte alltför komplicerat. I allmänhet behöver man bara se till att den implementeras korrekt för en enda domän. För större organisationer, med flera domäner och e-postsystem, är det dock mycket mer komplicerat.

NIS2-direktivet kommer att höja den digitala säkerhetsnivån i hela EU. Även om direktivet är gränsöverskridande har de enskilda länderna möjlighet att bestämma hur kraven ska implementeras lokalt och om de vill gå längre än den säkerhetsnivå som fastställs i NIS2.