資料外洩是電子郵件地址在網際網路上外洩最常見的方式。這可能導致電子郵件出現在線上論壇、暗網和其他公共空間。根據 2022 年 IBM 的報告(新視窗),識別和圍堵一次外洩平均需要 277 天,這代表在您發現攻擊者掌握您的個人資料之前,可能已經過了九個月。這對您的線上隱私和安全構成了嚴重威脅。

限制電子郵件外洩影響的唯一方法是定期檢查個人資料是否遭到入侵。在本文中,我們將向您顯示如何檢查電子郵件是否已外洩,以及您可以採取的應對措施。

取得 Proton Mail 按鈕

如果電子郵件外洩會發生什麼事?

在資料外洩中暴露的個人資料隨時會出現在暗網上,為受害者帶來許多問題。以下是網路犯罪分子取得您的電子郵件和密碼後可能發生的情況。

垃圾郵件和網路釣魚電子郵件增加

電子郵件外洩最明顯的警示跡象之一,是收件匣中湧入大量的垃圾郵件網路釣魚電子郵件。雖然大多數垃圾郵件只是令人困擾,但網路釣魚電子郵件更危險。網路釣魚詐騙者會冒充合法的寄件者(例如信用卡公司或醫療保健提供者),誘騙您洩露個人資訊。

另一種常見的手段是冒充外洩您資訊的服務。例如,Twitter 在 2022 年底外洩了超過 2 億個電子郵件(新視窗),攻擊者很容易就能包含所有必要資訊,使其看起來像是來自該服務的合法電子郵件。在這裡,您可以看到針對擁有驗證帳號的 Twitter 使用者進行「魚叉式網路釣魚」攻擊的範例。

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

慶幸的是,您通常只需具備一點常識就能防範網路釣魚詐騙。留意措辭異常的句子,仔細檢查寄件者的電子郵件地址,並透過其他管道聯繫他們,以確認該電子郵件是否合法。

如果您懷疑電子郵件是網路釣魚嘗試,請勿開啟任何連結或附件,並立即向您的電子郵件提供者舉報。

帳號接管攻擊

如果您的電子郵件密碼也在資料外洩中外洩,駭客可能會在帳號接管攻擊中控制您的電子郵件帳號。通常,他們會利用收件匣中的資訊來存取其他更敏感的帳號,例如線上銀行或社群媒體帳號。他們甚至可能利用您的電子郵件勒索您,或強迫您支付贖金以重新獲得帳號存取權。

身分竊盜

電子郵件外洩的另一個可能後果是身分盜用。當駭客濫用您的個人資料來愚弄他人或組織,讓他們以為對方就是您時,就會發生身分盜用。他們可能會:

  • 以您的名義註冊新的訂閱項目和合約
  • 使用您的詳細資料申請新的信用卡、貸款和銀行帳號
  • 進行詐騙消費 
  • 聲稱是您並向您的親友借錢
  • 使用您的詳細資料犯罪

身分盜用會帶來毀滅性的後果——它可能嚴重損害您的事業和名譽,甚至讓您留下犯罪紀錄。

如何檢查電子郵件外洩

考慮到資料外洩是多麼常見,定期監控電子郵件是否外洩的跡象至關重要。一個很好的方法是在 Have I Been Pwned (HIBP) 資料庫(新視窗)中搜尋您的電子郵件地址,該網站由網路安全顧問 Troy Hunt 設計,旨在協助人們檢查個人資訊是否遭到入侵。HIBP 允許您搜尋電子郵件地址、電話號碼和密碼。

如要搜尋您的電子郵件地址或電話號碼:

  1. 前往 Have I Been Pwned 網站(新視窗)
  2. 在搜尋列輸入您的電子郵件地址或電話號碼,然後點擊 pwned?

如要搜尋您的密碼:

  1. 前往 Have I Been Pwned 網站(新視窗)
  1. 點擊頂部導覽選單中的 passwords
  2. 在搜尋列輸入您的密碼,然後點擊 pwned?

如何解讀您的結果

如果您的電子郵件地址和電話號碼尚未遭到外洩,您將會看到這則訊息:

另一方面,如果您發現您的資訊已經外洩,則會看到這則訊息:

如果您發現自己是電子郵件外洩的受害者,請立即採取以下步驟來保護自己。

如何保護自己免受電子郵件外洩侵害

更改您的密碼

發現電子郵件外洩後,您應該做的第一件事就是更改受影響帳號的密碼。這是假設您已為所有帳號使用強大且唯一的密碼。如果您確實為多個帳號使用相同的密碼,且其中一個帳號外洩或受影響,則應在所有使用該密碼的地方進行更改。這是不應重複使用密碼的另一個原因,因為這會使資料外洩後的復原工作更加困難。

我們建議使用開源密碼管理程式,以便更輕鬆地記住多個強大且唯一的密碼。

密碼管理程式會為您的每個線上帳號自動生成並儲存複雜的密碼,讓駭客難以破解。您只需要記住一個主密碼即可登入您的密碼管理程式。

啟用雙重身分驗證

在您更改線上帳號的電子郵件地址和密碼時,還應盡可能啟用雙重驗證 (2FA)。使用雙重驗證時,除了密碼之外,登入時還需要額外的驗證,以此保護您的帳號免受未經授權的存取。這通常是您擁有的東西,例如安全金鑰或行動裝置,或者是您的生理特徵,例如臉部辨識或指紋。

安全金鑰,也稱為 2FA 金鑰或硬體金鑰(例如 YubiKeys(新視窗)),是最安全的雙重驗證形式之一。與安裝在行動裝置上的驗證 app 所生成的單次代碼不同,安全金鑰無法被身分冒充、沒有時間限制,且不需要存取行動裝置。由於它們是 USB 金鑰,您可以輕鬆地將這些安全金鑰添加到您的鑰匙圈中並隨身攜帶。遺憾的是,並非所有服務都支援安全金鑰。

通知您的聯絡人

您應該告知您的聯絡人,他們可能會收到看似由您發送的異常電子郵件,以防止他們被使用(或看似使用)您電子郵件地址的網路釣魚企圖所矇騙。

如果您在外洩發生前已在電子郵件帳號中啟用雙重驗證,且確信駭客無法存取您的驗證 app 或安全金鑰,則可以略過此步驟。

仔細檢查您的銀行和信用卡帳單

您還應該查看銀行和信用卡帳單,以發現任何異常活動,例如您不認可的費用、大額消費,甚至是帳單地址的變更。有時犯罪分子在嘗試進行較大交易之前,還會進行 1 美元或 2 美元的小額「測試付款」。

如果您發現任何可疑活動,請立即向您的銀行或信用卡供應商舉報。通常,銀行或信用卡公司會為您提供新的銀行帳號或信用卡,並關閉舊的帳號或卡片。

使用電子郵件別名

使用電子郵件別名是維護線上隱私的一種實用策略,尤其是在電子郵件外洩之後。透過使用電子郵件別名,您可以保持主要電子郵件地址的私密性,並限制您在網路上提供的個人資訊量。您可以透過兩種方式建立電子郵件別名:

  • 透過加上加號 (+):在您的使用者名稱後加上「+something」。例如,如果您的電子郵件地址為 bobsmith@proton.me,則您的電子郵件別名可以是 bobsmith+finances@proton.me。這就是所謂的電子郵件子位址技術。 
  • 透過使用不同的使用者名稱建立新的電子郵件別名:您可以針對不同的線上帳號建立全新的電子郵件別名。

注意:並非所有的電子郵件提供者都支援這些功能。Proton Mail 不僅支援,我們還免費提供 +aliases(加號別名)。

雖然方便實用,但攻擊者可以輕易地從您的電子郵件子位址中擷取出真實的電子郵件地址,並將其用於垃圾郵件活動。如果您必須使用電子郵件子位址,請確保其中不包含您的真實姓名。

自動產生唯一的電子郵件別名

建立新電子郵件別名的較佳方法是個別設定。但考量到我們每天使用的線上帳號數量,要手動為所有帳號建立新電子郵件別名是不可能的。此外,要組織和管理這麼多收件匣,也會是一場物流噩夢。

這就是為什麼我們建議使用開放原始碼的電子郵件別名服務,例如 SimpleLogin by Proton(新視窗) 來產生這些位址。SimpleLogin 是 一款瀏覽器延伸功能、網頁應用程式和行動應用程式,可在您註冊線上帳號時提供匿名電子郵件地址。傳送到您別名的電子郵件會立即轉寄到您的收件匣。

透過 SimpleLogin,您可以建立自己的自訂別名,或讓軟體自動產生隨機別名。如果您決定不再使用某個別名,只需將其刪除即可。

不要開啟可疑的連結和附件

攻擊者經常利用網路釣魚電子郵件,誘騙您在詐騙網站上洩露個人資料,或在您的電腦上安裝惡意軟體(新視窗)。為了保持安全,最好只開啟來自信任寄件者的電子郵件和附件,並對要求您採取緊急行動(例如堅持要求您立即匯款)的電子郵件保持警惕。

若有疑慮,請透過其他方式與寄件者聯繫(例如撥打其官方服務專線),並請他們驗證是否曾向您傳送電子郵件。如果您確信自己遇到了網路釣魚電子郵件,請立即向您的電子郵件提供者回報。

定期監控您的電子郵件地址是否外洩

密切注意潛在的電子郵件外洩,對於保護您的個人資訊和線上身分大有幫助。定期監控有助於您快速偵測並應對任何異常活動和安全性事件。

您也可以使用 HIBP 的「Notify me」功能,在您的個人詳細資料於資料外洩事件中遭到入侵時接收通知:

  1. 前往 Have I Been Pwned 網站(新視窗)
  2. 點擊頂部導覽選單中的 Notify me
  3. 輸入您的電子郵件地址並選取 notify me of pwnage

或者,您可以追蹤 HIBP 的 Twitter 帳號(新視窗),以掌握所有最新的資料外洩情況。如果您擁有頂級質子版密碼管理程式(例如 1Password),您也可以設定自動外洩偵測更新,1Password 將定期搜尋 HIBP 資料庫,並在您的任何登入詳細資料出現時通知您。

選擇安全的電子郵件提供者

您的電子郵件提供者在防止未經授權存取收件匣方面也扮演著至關重要的角色。其負責實施強大的安全性措施,保護您的電子郵件帳號免受駭客攻擊、網路釣魚和惡意軟體等網路威脅。

身為全球最大的加密電子郵件提供者,Proton 的首要任務是保護您的線上隱私,並賦予您控管自己資料的能力。當您使用 Proton Mail 時,您可以享有下列安全性功能:

  • 端對端加密:除了您和預期的收件者之外,沒有人可以讀取您的訊息。 
  • 零存取加密:儲存在我們伺服器中的所有資料皆已完全加密。即使駭客入侵了我們的伺服器,他們也無法讀取您的電子郵件。
  • 額外的電子郵件別名:如果您擁有 Proton Mail 付費方案,您可以建立至少 10 個額外的電子郵件別名。所有傳送到您別名的電子郵件都會照常進入您的收件匣。
  • 封鎖可疑活動:Proton Mail 的安全性系統若偵測到可疑行為(例如有人企圖入侵您的收件匣),將會暫時鎖定您的帳號。當您能以驗證碼(僅傳送到您的復原用電子郵件地址或電話號碼)證明身分時,您的帳號將會解鎖。
  • 檢查安全性日誌:在您的 Proton Mail 帳號設定中,您可以檢查安全性日誌並撤銷任何活動中工作階段的存取權。您也可以啟用進階日誌,記錄安全性日誌中每個事件的 IP 位址。
  • 強大的垃圾郵件篩選器:我們的智慧垃圾郵件偵測系統會自動偵測垃圾郵件並將其移至垃圾郵件資料夾。如需精細控制,您也可以在封鎖清單中新增或移除電子郵件地址。
  • 雙重驗證 (2FA) 與安全性金鑰:您可以使用雙重驗證來保護您的 Proton Mail 帳號。我們支援由驗證 app、YubiKey 及其他符合 U2F/FIDO2 標準的金鑰所產生的暫時性代碼。 
  • 網路釣魚防護:我們透過 PhishGuard 提供防網路釣魚保護,這是一套專為對抗網路釣魚而設計的進階功能。
  • 自訂網域的防身分冒充措施:為了保護您的自訂網域免受身分冒充攻擊,我們支援 SPF、DKIM 和 DMARC。 

透過監控電子郵件是否外洩、設定強大的密碼,以及善用 Proton Mail 提供的安全性功能,您可以降低電子郵件外洩的風險,並保護您的個人資料免受網路威脅。

如果您想支援我們打造更優質、更私密的網際網路使命,請考慮註冊免費的 Proton Mail 帳號