4 月初發(fā)生全球最大電子郵件營銷公司遭黑，多家大型企業(yè)名單外泄事件 , 這家全球最大的電子郵件營銷公司 Epsilon 表示，該公司發(fā)現(xiàn)黑客侵入系統(tǒng)，部分客戶數(shù)據(jù)可能遭竊取。

至少有 39 家知名企業(yè)受影響 , 泄密名單數(shù)據(jù)可能波及全球以下是趨勢科技資深分析師收到一封受害者之一 :[ 希爾頓貴賓俱樂部 ] 傳給他的通知郵件 , 文中提醒大家應對之道。

作者：趨勢科技資深安全顧問 Rik Ferguson

<!--[endif]-->

Hilton HHonors 希爾頓貴賓俱樂部傳給我的通知郵件內(nèi)容

親愛的客戶

我們的數(shù)據(jù)庫營銷商 Epsilon 通知我們，告知我們是受數(shù)據(jù)入侵破壞的公司之一。這是否會影響你？ Epsilon 告知公司被取得的資料未包括任何客戶的金融資料， Epsilon 也強調(diào)被取得的數(shù)據(jù)只有姓名和電子郵件。受到最大沖擊的……

過去三天來，我們很多人被電子郵件收件匣中的景象警醒。一封通知函告知你的電子郵件地址已成為「數(shù)據(jù)庫營銷商」 Epsilon 數(shù)據(jù)受入侵破壞的受害人之一，此入侵極可能是類似案件中最大的一宗。今天我收到了我的第一封通知，而我絕對不會是唯一的一個。

受此次入侵所影響的公司已經(jīng)一長串了，但似乎還會再更多。我所收到的通知是來自 Hilton HHonours 希爾頓貴賓俱樂部，希爾頓飯店的客戶忠誠度計劃。其它受影響的公司包括： American Express 美國運通， BestBuy ， Borders ， Capital One ， Citibank 花旗銀行， Disney 迪斯尼， The Home Shopping Network （家庭電視購物網(wǎng)）， JP Morgan Chase （摩根證券）， Marriott Rewards （ Marriott 飯店酬賓計劃）， Ritz Carlton （ Carlton 飯店）， TiVo ， US Bank 美國銀行， Verizon 和 Visa 威士忌等等。

除了 Epsilon 在 4 月 1 日所發(fā)布的初步聲明（ initial statement ）外，尚無任何相關(guān)入侵是如何發(fā)生的細節(jié)說明，而入侵破壞通知的電子郵件仍源源不絕地遞送給受影響的個人。

Epsilon 聲明此「未經(jīng)授權(quán)進入 Epsilon 的電子郵件系統(tǒng)」只影響了 2% 的客戶，而這個 2% 只是某個 Epsilon 提供電子郵件 服務(wù) 的客戶的數(shù)量。從目前已知的受影響機構(gòu)名單來看，你不禁會猜想攻擊者是否隨意能夠瀏覽整個數(shù)據(jù)庫，并從中只取用他們認為是最有價值的數(shù)據(jù)。

每一封通知函件，及 Epsilon 的公開聲明都在向我們擔保「只有」姓名和電子郵件被「取得」，其它數(shù)據(jù)如金融或其它數(shù)據(jù)則未受此風險。不幸的，這些聲明低估了對客戶受風險程度，同時也造成誤導。

犯罪份子不只知道了你的姓名和電子郵件，他們也知道你在哪里購物，在哪里進行銀行交易，你住哪一家旅館等等。如果你很不幸地收到多封通知函，可以想象在犯罪份子手上已握有多少相關(guān)你的數(shù)據(jù)文件。

網(wǎng)絡(luò)釣魚 Phishing （目標高度集中的釣魚攻擊）的風險已因為此次數(shù)據(jù)庫的入侵破壞已大幅上升，人們應當要比尋常更加小心接受來自受影響機構(gòu)，可能是索取個人資料的電子郵件。

不過，重要的是要記得，網(wǎng)絡(luò)釣魚 Phishing 攻擊不是唯一與此相關(guān)的犯罪活動。這個數(shù)據(jù)金礦使得設(shè)計制作高可信度惡意電子郵件變得簡單。電子郵件可能來自你已經(jīng)是客戶的機構(gòu)或商店。郵件會被設(shè)計用來誘使你點擊連結(jié)。在在線犯罪的復雜世界中，通常你只要一點擊，甚至不需要使用者互動，就可能遭入侵破壞和感染。如果犯罪份子可以擁有你的個人計算機，他們就不需要向你詢問你的個人資料，只需要取走然后任意處置即可。

對那些郵件地址遭泄露的消費者的提醒（也是對我自己的）：

• 在未來的數(shù)月，或許數(shù)年內(nèi)，特別注意你所收到的電子郵件。
• 使用你自己設(shè)定的書簽標示或手動輸入，不要將個人資料提供給郵件鏈接中的網(wǎng)站。（除非有百分之百的把握，永遠不要點擊郵件中的超鏈接）
• 在提供個人資料前，先確認聯(lián)結(jié)受 SSL （ Secured Socket Layer ）的保護。即網(wǎng)頁地址是以「 https:// 」為首。如果不是加密的，就不配獲得你的資料。
• 在提交任何資料前，小心仔細閱讀隱私同意內(nèi)容。如果你對內(nèi)容有任何不滿意之處，最好重新考慮加入的打算。
• 未來要確認避免此類問題的可能，最好是在每一種服務(wù)上都使用特殊的地址，我曾經(jīng)撰文解說如何簡單地做到，請參考此處（ here ）。

<!--[if !supportLists]-->

對所有處理，儲存或傳遞用戶資料的公司，應當對數(shù)據(jù)進行加密 防護 ，這毫不能有借口，也不能有免責條款。這只是個開始，而你對客戶有保護的義務(wù)！

<!--[endif]-->

全球最大電子郵件營銷公司遭黑，消費者如何反釣魚？