全球最大电子邮件营销公司遭黑，消费者如何反钓鱼？

4月初发生全球最大电子邮件营销公司遭黑，多家大型企业名单外泄事件, 这家全球最大的电子邮件营销公司Epsilon表示，该公司发现黑客侵入系统，部分客户数据可能遭窃取。

至少有39家知名企业受影响,泄密名单数据可能波及全球以下是趋势科技资深分析师收到一封受害者之一:[希尔顿贵宾俱乐部]传给他的通知邮件,文中提醒大家应对之道。

作者：趋势科技资深安全顾问Rik
Ferguson



Hilton HHonors希尔顿贵宾俱乐部传给我的通知邮件内容

亲爱的客户
我们的数据库营销商Epsilon通知我们，告知我们是受数据入侵破坏的公司之一。这是否会影响你？Epsilon告知公司被取得的资料未包括任何客户的金融资料，Epsilon也强调被取得的数据只有姓名和电子邮件。受到最大冲击的……

过去三天来，我们很多人被电子邮件收件匣中的景象警醒。一封通知函告知你的电子邮件地址已成为「数据库营销商」Epsilon数据受入侵破坏的受害人之一，此入侵极可能是类似案件中最大的一宗。今天我收到了我的第一封通知，而我绝对不会是唯一的一个。

受此次入侵所影响的公司已经一长串了，但似乎还会再更多。我所收到的通知是来自Hilton HHonours希尔顿贵宾俱乐部，希尔顿饭店的客户忠诚度计划。其它受影响的公司包括：American Express美国运通，BestBuy，Borders，Capital One，Citibank花旗银行，Disney迪斯尼，The Home Shopping Network（家庭电视购物网），JP Morgan Chase（摩根证券），Marriott
Rewards（Marriott饭店酬宾计划），Ritz Carlton（Carlton饭店），TiVo，US Bank美国银行，Verizon和Visa威士忌等等。

除了Epsilon在4月1日所发布的初步声明（initial statement）外，尚无任何相关入侵是如何发生的细节说明，而入侵破坏通知的电子邮件仍源源不绝地递送给受影响的个人。

Epsilon声明此「未经授权进入Epsilon的电子邮件系统」只影响了2%的客户，而这个2%只是某个Epsilon提供电子邮件服务的客户的数量。从目前已知的受影响机构名单来看，你不禁会猜想攻击者是否随意能够浏览整个数据库，并从中只取用他们认为是最有价值的数据。

每一封通知函件，及Epsilon的公开声明都在向我们担保「只有」姓名和电子邮件被「取得」，其它数据如金融或其它数据则未受此风险。不幸的，这些声明低估了对客户受风险程度，同时也造成误导。

犯罪份子不只知道了你的姓名和电子邮件，他们也知道你在哪里购物，在哪里进行银行交易，你住哪一家旅馆等等。如果你很不幸地收到多封通知函，可以想象在犯罪份子手上已握有多少相关你的数据文件。

网络钓鱼Phishing（目标高度集中的钓鱼攻击）的风险已因为此次数据库的入侵破坏已大幅上升，人们应当要比寻常更加小心接受来自受影响机构，可能是索取个人资料的电子邮件。

不过，重要的是要记得，网络钓鱼Phishing攻击不是唯一与此诈骗相关的犯罪活动。这个数据金矿使得设计制作高可信度恶意电子邮件变得简单。电子邮件可能来自你已经是客户的机构或商店。邮件会被设计用来诱使你点击连结。在在线犯罪的复杂世界中，通常你只要一点击，甚至不需要使用者互动，就可能遭入侵破坏和感染。如果犯罪份子可以拥有你的个人计算机，他们就不需要向你询问你的个人资料，只需要取走然后任意处置即可。

对那些邮件地址遭泄露的消费者的提醒（也是对我自己的）：

在未来的数月，或许数年内，特别注意你所收到的电子邮件。

使用你自己设定的书签标示或手动输入，不要将个人资料提供给邮件链接中的网站。（除非有百分之百的把握，永远不要点击邮件中的超链接）

在提供个人资料前，先确认联结受SSL（Secured Socket Layer）的保护。即网页地址是以「https://」为首。如果不是加密的，就不配获得你的资料。

在提交任何资料前，小心仔细阅读隐私同意内容。如果你对内容有任何不满意之处，最好重新考虑加入的打算。

未来要确认避免此类问题的可能，最好是在每一种服务上都使用特殊的地址，我曾经撰文解说如何简单地做到，请参考此处（here）。

对所有处理，储存或传递用户资料的公司，应当对数据进行加密防护，这毫不能有借口，也不能有免责条款。这只是个开始，而你对客户有保护的义务！