有 940 万人在上个星期收到来自国泰航空(Cathay Pacific)的电邮, 被告知自己的资料已被窃取, 而我也是其中一位收到电邮者。 国泰航空公司发电邮提醒我必须对“网络钓鱼” (phishing) 电邮诈骗保持警觉。 这起资料外泄的事件也导致国泰航空的股价暴跌。
你或许会认为自己不会遭殃, 因为你不曾乘搭国泰航空或英国航空, 或没有和那些涉及资料外泄的跨国公司有任何业务来往。 但是, 事实并非如此。
马来西亚主要的30家上市公司当中, 包括银行以及通讯公司, 并没有任何一家已做好完善的防护措施以防止诈骗者利用它们的域名 (domain) 来发送 “网络钓鱼” 电邮。 这30家公司只占马来西亚261,000家设有网站及线上业务企业的一小部分。 值得注意的是, 就连马来西亚股票交易所 (Bursa Malaysia) 也没有做好防护措施。
马来西亚至少有一家著名的线上购物网站没有做好防范措施保护自己的电邮域名,因此这个网站的1530万名网购用户可能会收到诈骗者以其域名发出的“网络钓鱼”电邮。
这些公司没有防止其他人非法使用它们的电邮域名,以避免它们的用户收到垃圾邮件、诈骗邮件或“网络钓鱼”邮件。
反观马来西亚蒙纳士大学(Monash University)就做得比它们好,因为该校设定了严格的发送者认证框架(sender authentication framework)。这意味着陌生人很难盗用这家大学的域名@monash.edu.my来发送假电邮给你。
品牌域名也被盗
许多公司已安装了防火墙、反垃圾电邮工具和防毒软件,有些公司甚至也会采用加密电邮。这些措施会给予公司的电邮用户例如员工、管理层及董事们一些防护措施,但是它们并非全天候全方位的保护措施。
加密(Encryption)是把电邮内容进行乱码,使他人无法轻易读取机密的内容。安装防火墙可以帮助防止外部攻击,至于防毒工具则是防范恶意软件。垃圾电邮过滤器则保护公司的电邮用户免受垃圾电邮和“网络钓鱼”的攻击。
其实,这些步骤是不足以抵挡那些高级诈骗者盗取这些公司的品牌和域名,通过电邮来欺骗用户。想要获得完善保障,这些公司必须采用三大电邮安全认证标准—— SPF、DKIM和 DMARC。
如果你要确认你的雇主或公司是否需要发送者认证系统,可以试用phishingscorecard.com 所提供的免费工具来检查其域名是否已设定了SPF、DKIM 或DMARC。
采用安全认证标准
市面上有很多服务供应商,包括dmarcian.com马来西亚代理-Fedelis私人有限公司,专为企业提供安全防护系统建设咨询服务。
若不具备发送者认证,不法之徒很容易就能冒充这些公司,要求那些缺乏警觉性的用户汇款、提供个人信息或银行账号密码。若发生上述事件,这些公司的股价将会像国泰航空那样直线下跌,也会破坏它们的名声。
恶搞后果严重
甚至一些恶搞行为也会带来严重后果。我曾听闻有恶搞之人曾经发出恶作剧的电邮,取消一家大型企业的会议。不管是不法之徒或恶搞之人,他们都可以假冒执法机构例如陆路交通局发出各种假电邮给你。
那么,我们该如何加强电邮的安全性?
第一,不管是个人或公司,请确保你正在使用一个世界级的电邮服务,例如Office365。它运用先进的科技来鉴定和阻止“网络钓鱼”电邮攻击,也采用SPF、DKIM和 DMARC安全认证标准来保护你以及你的公司和客户。
第二,确保你的域名获得SPF、DKIM 和 DMARC安全认证标准的保护,避免不法之徒利用公司的域名来冒充你,并欺诈你的员工或客户。这些公司不但应该要采用这些安全标准,也要确保一切设定正确无误。上述提及的马来西亚30家主要上市公司,没有一家设立完善或妥善的发送者认证系统。
对于诈骗事件,我们很轻易的作出结论,认为受害者之所以受骗是因为缺乏警觉性,自己应该负责任。但是那些没有防止“网络钓鱼”事件发生的公司也应该承担部分责任。也许国泰航空并没有做好完善的防范措施,所以才会发生资料外泄的事件。