马来西亚公司导致客户暴露在电邮诈骗风险
We are featured in Nanyang Siang Pao arcticle on 30th November 2018. 有 940 万人在上个星期收到来自国泰航空(Cathay Pacific)的电邮, 被告知自己的资料已被窃取, 而我也是其中一位收到电邮者。 国泰航空公司发电邮提醒我必须对“网络钓鱼” (phishing) 电邮诈骗保持警觉。 这起资料外泄的事件也导致国泰航空的股价暴跌。 你或许会认为自己不会遭殃, 因为你不曾乘搭国泰航空或英国航空, 或没有和那些涉及资料外泄的跨国公司有任何业务来往。 但是, 事实并非如此。 马来西亚主要的30家上市公司当中, 包括银行以及通讯公司, 并没有任何一家已做好完善的防护措施以防止诈骗者利用它们的域名 (domain) 来发送 “网络钓鱼” 电邮。 这30家公司只占马来西亚261,000家设有网站及线上业务企业的一小部分。 值得注意的是, 就连马来西亚股票交易所 (Bursa Malaysia) 也没有做好防护措施。 马来西亚至少有一家著名的线上购物网站没有做好防范措施保护自己的电邮域名,因此这个网站的1530万名网购用户可能会收到诈骗者以其域名发出的“网络钓鱼”电邮。 这些公司没有防止其他人非法使用它们的电邮域名,以避免它们的用户收到垃圾邮件、诈骗邮件或“网络钓鱼”邮件。 反观马来西亚蒙纳士大学(Monash University)就做得比它们好,因为该校设定了严格的发送者认证框架(sender authentication framework)。这意味着陌生人很难盗用这家大学的域名@monash.edu.my来发送假电邮给你。 品牌域名也被盗 许多公司已安装了防火墙、反垃圾电邮工具和防毒软件,有些公司甚至也会采用加密电邮。这些措施会给予公司的电邮用户例如员工、管理层及董事们一些防护措施,但是它们并非全天候全方位的保护措施。 加密(Encryption)是把电邮内容进行乱码,使他人无法轻易读取机密的内容。安装防火墙可以帮助防止外部攻击,至于防毒工具则是防范恶意软件。垃圾电邮过滤器则保护公司的电邮用户免受垃圾电邮和“网络钓鱼”的攻击。 其实,这些步骤是不足以抵挡那些高级诈骗者盗取这些公司的品牌和域名,通过电邮来欺骗用户。想要获得完善保障,这些公司必须采用三大电邮安全认证标准—— SPF、DKIM和 DMARC。…
