Ako písali vyššie - ak používa rovnaké heslo do rôznych služieb, tak to heslo mohlo uniknúť odtiaľ (viď odkaz na "have i been pwned" tiež uvedený vyššie).

Zmeniť heslá, v žiadnom prípade neplatiť.
Ak nie je v klientovi vypnuté zobrazovanie vzdialeného obsahu, tak ho pre budúcnosť vypnúť.

V ideálnom svete by sa to malo nahlásiť na polícii, ktorá by v spolupráci s majiteľom/prevádzkovateľom odosielajúceho servera vystopovala (alebo sa aspôň snažila vystopovať) pôvodcu správy a pozrela by sa tiež, aké odkazy sú v e-maile a zariadila ich znefunkčnenie. Predpokladám ale, že v reále by takáto snaha stroskotala niekde na začiatku pri jazykovej bariére.