有940万人在上两周收到来自国泰航空（Cathay Pacific）的电邮，被告知自己的资料被窃取，而我也是其中一位收到电邮者。

国泰航空公司发电邮提醒我，必须对“网络钓鱼”（phishing）电邮诈骗保持警觉。这起资料外泄的事件，也导致国泰航空的股价暴跌。

你或许会认为自己不会遭殃，因为你不曾乘搭国泰航空或英国航空，或没有和那些涉及资料外泄的跨国公司有任何业务来往。但是，事实并非如此。

马来西亚主要的30家上市公司当中，包括银行以及通信公司，并没有任何一家已做好完善的防护措施，以防止诈骗者利用它们的域名（domain）来发送“网络钓鱼”电邮。

这30家公司，只占马来西亚26万1000家设有网站及线上业务企业的一小部分。值得注意的是，就连大马股票交易所也没有做好防护措施。

大马至少有一家著名的线上购物网站，没有做好防范措施保护自己的电邮域名，因此，这个网站的1530万名网购用户，可能会收到诈骗者以其域名发出的“网络钓鱼”电邮。

这些公司没有防止其他人非法使用它们的电邮域名，以避免它们的用户收到垃圾邮件、诈骗邮件或“网络钓鱼”邮件。

反观大马蒙纳士大学（Monash University）就做得比它们好，因为该校设定了严格的发送者认证框架（sender authentication framework）。这意味着陌生人很难盗用这家大学的域名@monash.edu.my，来发送假电邮给你。

品牌域名也被盗

许多公司已安装了防火墙、反垃圾电邮工具和防毒软件，有些公司甚至也会采用加密电邮。

这些措施会给予公司的电邮用户，例如员工、管理层及董事们一些防护措施，但是，它们并非全天候全方位的保护措施。

加密（Encryption）是把电邮内容进行乱码，使他人无法轻易读取机密的内容。

安装防火墙可以帮助防止外部攻击，至于防毒工具则是防范恶意软件。

垃圾电邮过滤器，则保护公司的电邮用户免受垃圾电邮和“网络钓鱼”的攻击。

其实，这些步骤不足以抵挡那些高级诈骗者盗取这些公司的品牌和域名，通过电邮来欺骗用户。想要获得完善保障，这些公司必须采用三大电邮安全认证标准——SPF、DKIM和DMARC。

如果你要确认你的雇主或公司，是否需要发送者认证系统，可以试用phishingscorecard.com 所提供的免费工具，来检查其域名是否已设定了SPF、DKIM 或DMARC。

采用安全认证标准

市面上有很多服务供应商，包括dmarcian.com大马代理——Fedelis私人有限公司，专为企业提供安全防护系统建设咨询服务。

若不具备发送者认证，不法之徒很容易就能冒充这些公司，要求那些缺乏警觉性的用户汇款、提供个人信息或银行账号密码。

若发生上述事件，这些公司的股价将会像国泰航空那样直线下跌，破坏它们的名声。

恶搞后果严重

甚至一些恶搞行为也会带来严重后果。我曾听闻有恶搞之人，曾经发出恶作剧的电邮，取消一家大型企业会议。

不管是不法之徒或恶搞之人，他们都可以假冒执法机构例如陆路交通局发出各种假电邮给你。

那么，我们该如何加强电邮的安全性？

第一，不管是个人或公司，请确保你正在使用一个世界级的电邮服务，例如Office365。它运用先进的科技来鉴定和阻止“网络钓鱼”电邮攻击，也采用SPF、DKIM和 DMARC安全认证标准，来保护你以及你的公司和客户。

第二，确保你的域名获得SPF、DKIM 和 DMARC安全认证标准的保护，避免不法之徒利用公司的域名来冒充你，并欺诈你的员工或客户。

这些公司不但应该要采用这些安全标准，也要确保一切设定正确无误。上述提及的大马30家主要上市公司，没有一家设立完善或妥善的发送者认证系统。

对于诈骗事件，我们很轻易的作出结论，认为受害者之所以受骗是因为缺乏警觉性，自己应该负责任。

但是，那些没有防止“网络钓鱼”事件发生的公司，也应该承担部分责任。也许国泰航空并没有做好完善的防范措施，所以才会发生资料外泄的事件。

蔡惠彬