4 月初發生全球最大電子郵件營銷公司遭黑，多家大型企業名單外泄事件 , 這家全球最大的電子郵件營銷公司 Epsilon 表示，該公司發現黑客侵入系統，部分客戶數據可能遭竊取。

至少有 39 家知名企業受影響 , 泄密名單數據可能波及全球以下是趨勢科技資深分析師收到一封受害者之一 :[ 希爾頓貴賓俱樂部 ] 傳給他的通知郵件 , 文中提醒大家應對之道。

作者：趨勢科技資深安全顧問 Rik Ferguson

<!--[endif]-->

Hilton HHonors 希爾頓貴賓俱樂部傳給我的通知郵件內容

親愛的客戶

我們的數據庫營銷商 Epsilon 通知我們，告知我們是受數據入侵破壞的公司之一。這是否會影響你？ Epsilon 告知公司被取得的資料未包括任何客戶的金融資料， Epsilon 也強調被取得的數據只有姓名和電子郵件。受到最大沖擊的……

過去三天來，我們很多人被電子郵件收件匣中的景象警醒。一封通知函告知你的電子郵件地址已成為「數據庫營銷商」 Epsilon 數據受入侵破壞的受害人之一，此入侵極可能是類似案件中最大的一宗。今天我收到了我的第一封通知，而我絕對不會是唯一的一個。

受此次入侵所影響的公司已經一長串了，但似乎還會再更多。我所收到的通知是來自 Hilton HHonours 希爾頓貴賓俱樂部，希爾頓飯店的客戶忠誠度計劃。其它受影響的公司包括： American Express 美國運通， BestBuy ， Borders ， Capital One ， Citibank 花旗銀行， Disney 迪斯尼， The Home Shopping Network （家庭電視購物網）， JP Morgan Chase （摩根證券）， Marriott Rewards （ Marriott 飯店酬賓計劃）， Ritz Carlton （ Carlton 飯店）， TiVo ， US Bank 美國銀行， Verizon 和 Visa 威士忌等等。

除了 Epsilon 在 4 月 1 日所發布的初步聲明（ initial statement ）外，尚無任何相關入侵是如何發生的細節說明，而入侵破壞通知的電子郵件仍源源不絕地遞送給受影響的個人。

Epsilon 聲明此「未經授權進入 Epsilon 的電子郵件系統」只影響了 2% 的客戶，而這個 2% 只是某個 Epsilon 提供電子郵件 服務 的客戶的數量。從目前已知的受影響機構名單來看，你不禁會猜想攻擊者是否隨意能夠瀏覽整個數據庫，并從中只取用他們認為是最有價值的數據。

每一封通知函件，及 Epsilon 的公開聲明都在向我們擔保「只有」姓名和電子郵件被「取得」，其它數據如金融或其它數據則未受此風險。不幸的，這些聲明低估了對客戶受風險程度，同時也造成誤導。

犯罪份子不只知道了你的姓名和電子郵件，他們也知道你在哪里購物，在哪里進行銀行交易，你住哪一家旅館等等。如果你很不幸地收到多封通知函，可以想象在犯罪份子手上已握有多少相關你的數據文件。

網絡釣魚 Phishing （目標高度集中的釣魚攻擊）的風險已因為此次數據庫的入侵破壞已大幅上升，人們應當要比尋常更加小心接受來自受影響機構，可能是索取個人資料的電子郵件。

不過，重要的是要記得，網絡釣魚 Phishing 攻擊不是唯一與此相關的犯罪活動。這個數據金礦使得設計制作高可信度惡意電子郵件變得簡單。電子郵件可能來自你已經是客戶的機構或商店。郵件會被設計用來誘使你點擊連結。在在線犯罪的復雜世界中，通常你只要一點擊，甚至不需要使用者互動，就可能遭入侵破壞和感染。如果犯罪份子可以擁有你的個人計算機，他們就不需要向你詢問你的個人資料，只需要取走然后任意處置即可。

對那些郵件地址遭泄露的消費者的提醒（也是對我自己的）：

• 在未來的數月，或許數年內，特別注意你所收到的電子郵件。
• 使用你自己設定的書簽標示或手動輸入，不要將個人資料提供給郵件鏈接中的網站。（除非有百分之百的把握，永遠不要點擊郵件中的超鏈接）
• 在提供個人資料前，先確認聯結受 SSL （ Secured Socket Layer ）的保護。即網頁地址是以「 https:// 」為首。如果不是加密的，就不配獲得你的資料。
• 在提交任何資料前，小心仔細閱讀隱私同意內容。如果你對內容有任何不滿意之處，最好重新考慮加入的打算。
• 未來要確認避免此類問題的可能，最好是在每一種服務上都使用特殊的地址，我曾經撰文解說如何簡單地做到，請參考此處（ here ）。

<!--[if !supportLists]-->

對所有處理，儲存或傳遞用戶資料的公司，應當對數據進行加密 防護 ，這毫不能有借口，也不能有免責條款。這只是個開始，而你對客戶有保護的義務！

<!--[endif]-->

全球最大電子郵件營銷公司遭黑，消費者如何反釣魚？