Вторникът на Амбър започна като всеки друг. Тя просто седна на кухненската маса с кафето и чантата и отвори лаптопа си, за да провери имейла си.
Тя беше малко заета с важна среща, която имаше този следобед – да преподади новия продукт на Contoso на главния директор на Tailwind Toys – така че да може да се разсее малко.
Вземайки още една глътка кафе, тя щракна върху връзката и въведо своето потребителско име и парола на страницата, която следва. Когато обаче щракна върху "Подаване", й се появи неудобно усещане. Страницата "Потвърждение" не я остави на спокойствие и тя погледна внимателно в адресната лента.
http://contoso.support.contoso-it.net/confirm
Това име на домейн не изглежда правилно! Погледнала е към оригиналния имейл и е потънала сърцето й. Тя не е забелязала името на домейна в имейл адреса, правописните грешки в съобщението или факта, че той я е адресирал като "колега", а не по име. Тя бързо отвори Teams и потърси в указателя на компанията "Джейсън Браун". Докато се страхуваше... Нямаше такъв.
Грабнала е телефона си, за да се обади на корпоративната защита на Contoso и да съобщи за подозренията си, точно както прозвуча известието "ding". Това е многофакторно удостоверяване за акаунта й. Някой се е опитал да влезе като нея. И имаха паролата й.
Тя веднага набра номера за корпоративната защита на Contoso и докато тя се върна в папка "Входящи" и щракна върху "Съобщаване > фишинг" в съобщението.
"Contoso security, Avery speaking." Амбър спира за секунда, след което отговаря. Здравейте, Ейвъри, това е Амбър Родригес. Аз съм старши мениджър в "Шарлот". Мисля, че се натрапих за фишинг съобщение тази сутрин."
"Добре, Амбър, преди колко време се случи?"
"Само преди няколко минути. Щракнах върху връзката и преди да помисля по-добре за това, сложих потребителското си име и парола в сайта." Амбър е търсила за издирване, може би е обаждане от отдел "Човешки ресурси".
"Направихте правилното нещо, като ни се обадите незабавно. Щракнали ли сте върху "Съобщаване за фишинг" в съобщението в Outlook?"
Амбър издиша, леко облекчена от съчувстващ тон на Avery. "Да, точно както набрах този номер."
"Добре, добре. От регистрационните файлове изглежда, че е имало успешно влизане тази сутрин в 7:52 часа." Ейвъри каза.
"Това бях аз, влизах за имейл." Амбър отговори.
"OK. И имахме опит за влизане няколко минути по-късно в 8:01, но беше от неизвестно устройство и подканата за многофактора никога не беше потвърждавана."
"Надясно! Точно както ви наричах приложението за удостоверяване, исках да потвърдя влизането. По този въпрос се притеснявах, че съм фишинг, така че не потвърдих."
-Отлично - каза Ейвъри – точно това искаме да направите. Никога не потвърждавайте или потвърждавайте подкана за многофакторно удостоверяване, освен ако не сте сигурни, че вие сте този, който го е започнал. Тъй като все още сте влезли на лаптопа си, трябва да отидете на страницата с профила си в Contoso и да промените паролата веднага . Можете ли също да ми препратите като прикачен файл копие на измамническото съобщение, което сте получили?"
"Да, разбира се." Каза Амбър.
"Страхотно. Ще го споделя с екипа за реагиране при инциденти, така че да можем да предупредим другите във фирмата да бъдат нащрек за тази атака. Справихте се чудесно, като не потвърдихте известието за многофакторно удостоверяване и ни се обадите веднага. Мисля, че би трябвало да е наред."
Амбър е зависнал и се чувства леко разклатена, но облекчена. Тя си изтръгна кафето и смени паролата си.
Резюме
Приблизително 4% от хората, които получават фишинг имейл, щракват върху връзката. В тази история, временно изтичане на концентрацията, което може да се случи на всеки от нас, постави Амбър на опасна пътека. Първият уеб сайт, който тя видя, изглежда достатъчно реално, така че тя въведе своето потребителско име и парола, но за щастие тя стана подозрителна и предприе бързи действия, преди да се направят реални щети.
Какво би направила Амбър по-добре?
-
Обърнато е внимание на адреса на подателя (support@contoso-it.net), който очевидно е "фишинг".
-
Когато фирмената й парола е изтекла в миналото, тя винаги е трябвало да променя паролата. Имейл, предлагащ да й позволите да поднови изтичаща парола, трябва да изглежда подозрително.
-
Тя трябваше да прегледа уеб адреса на сайта (http://contoso.support.contoso-it.net), който питаше за своето потребителско име и парола, преди да подаде своите идентификационни данни. "HTTP" е незащитен протокол; , които няма да се използват за законно влизане. Името на домейна е неудобно и "contoso-it.net" вместо "contoso.com" изглежда подозрително.
Какво прави Амбър правилно?
-
В крайна сметка тя забелязва лошия уеб адрес и е била в състояние да се върне по-внимателно и да провери имейл съобщението.
-
Когато съобщението за многофакторно удостоверяване е доставено на телефона й, тя е знаела, че нещо не е наред, и не го е потвърдила.
-
Тя веднага се нарича корпоративна защита, каза им много добре какво се е случило и съобщи за съобщението в Outlook.
Това, което можеше да е катастрофа, се оказа добре, благодарение на бързото й възстановяване.
За да научите повече, посетете https://support.microsoft.com/security.
Готови ли сте за следващата ни история?
Прегледайте Камерън научава за повторното използване на пароли , за да разберете защо повторното използване на пароли, дори много сигурни пароли, може да е опасна идея.
Ние ви слушаме!
Какво мислите за тази статия? Харесва ли ви информацията за киберсигурността да се представя във формат на кратка история като този? Искате ли да ни видите да правим повече от това? Изберете Да в контролата за обратна връзка по-долу, ако сте я харесали, или Не , ако не сте. И не се колебайте да ни оставяте коментари, ако имате обратна връзка за това как можем да я подобрим или да поискаме бъдещи теми.
Вашата обратна връзка ще ни помогне да напътстваме в бъдещо съдържание като това. Благодарим ви!
