ในบางครั้ง อีเมลด้านการตลาดของหน่วยงานก็อาจหน้าตาดูเหมือนอีเมลหลอกลวง (scam/phishing) เสียจนฝ่ายอื่นๆ ของหน่วยงานเข้าใจว่าเป็นเช่นนั้นจริงๆ

เรื่องนี้เกิดกับกลุ่มธุรกิจโรงแรม Hilton Worldwide โดยลูกค้าที่เป็นสมาชิกสะสมแต้ม HHonors ได้รับอีเมลขอให้ยืนยันข้อมูลในบัญชีว่าถูกต้อง โดยให้ล็อกอินบัญชีตามลิงก์ที่แนบมากับอีเมล เพื่อตรวจสอบข้อมูลที่อยู่และหมายเลขโทรศัพท์ของลูกค้า

ลูกค้ารายหนึ่งเกิดไม่แน่ใจว่านี่คืออีเมล phishing หลอกเอาข้อมูลบัญชีหรือไม่ จึงจับภาพหน้าจอแล้วทวีตไปถาม @HiltonHHonors ซึ่งก็ได้รับคำตอบว่านี่ไม่ใช่อีเมลของบริษัท และขอให้ลูกค้าไม่แชร์ข้อมูลบัญชีให้ใคร

เพียงแต่เคสนี้มันคืออีเมลของ Hilton ของจริง!

Lenny Zeltser ผู้เชี่ยวชาญด้านความปลอดภัย ให้ข้อมูลว่า Hilton ไม่ใช่บริษัทเดียวที่ผิดพลาดในเรื่องนี้ บริษัทใหญ่ๆ อย่างสายการบิน Delta ก็เคยทำแบบบนี้เช่นกัน คำแนะนำของ Zeltser คือองค์กรต้องหันมาใส่ใจเรื่องเนื้อหาอีเมลที่ส่งให้ลูกค้า จะให้ดีควรใช้โพรโทคอล DMARC เพื่อยืนยันว่าส่งจากเซิร์ฟเวอร์ของบริษัทจริง, ไม่ให้ลิงก์เพื่อล็อกอินโดยตรง แต่บอกให้ลูกค้าเข้าเว็บแล้วกดล็อกอินด้วยตัวเอง และควรให้ข้อมูลเชื่อมโยงกับธุรกรรมที่ลูกค้าเคยทำในอดีต เพื่อยืนยันว่าเป็นตัวองค์กรจริงๆ

ที่มา - Zeltser via The Register