Ambers tisdag började precis som vanligt. Hon hade precis satt vid sitt köksbord med sitt kaffe och bagel och öppnade sin bärbara dator för att kontrollera sin e-post.
Hon var lite upptagen med ett viktigt möte hon skulle ha under eftermiddagen – att sälja Contosos nya produkt till driftschefen på Tailwind Toys – så hon kan ha varit lite distraherad.
När hon tog ytterligare en mun kaffe klickade hon på länken och angav sitt användarnamn och lösenord på sidan som dök upp. När hon klickade på "Skicka" kom dock en olustig känsla över henne. Bekräftelsesidan hjälpte henne inte och hon tittade noggrant i adressfältet.
http://contoso.support.contoso-it.net/confirm
Det domännamnet såg inte rätt ut! Hon tittade tillbaka på det ursprungliga e-postmeddelandet och hennes hjärtans sjönk. Hon har inte lagt märke till domännamnet i e-postadressen, stavfelen i meddelandet eller att det i stället för namn har adresserat henne som "kollega". Hon öppnade snabbt Teams och sökte i företagskatalogen efter "Jason Brown". Som hon befarande...fanns det ingen.
Hon tog telefonen för att ringa Contoso företagssäkerhet och rapportera sina misstankar när meddelandeljudet "ding" låter. När hon tittar på telefonen är det en kod för multifaktorautentisering för hennes konto. Någon FÖRSÖKTE logga in som henne. Och de hade hennes lösenord.
Hon ringade omedelbart numret för Contoso företagssäkerhet och medan det ringde gick hon tillbaka till sin inkorg och klickade på "Rapport > Nätfiske" i meddelandet.
"Contoso säkerhet. Du pratar med Avery." Han pausade en sekund och svarade sedan. "Hej Avery, det här är Amber Rodriguez. Jag är senior ansvarige för kontot i Charlotte. Jag tror att jag föll för ett nätfiskemeddelande här på morgonen."
"Ok Amber, hur länge sedan hände det?"
"Bara för några minuter sedan. Jag klickade på länken och innan jag tänkte på det angav jag mitt användarnamn och lösenord på webbplatsen." Amber beredde sig på en utskällning och kanske ett samtal från personalavdelningen.
"Du gjorde rätt i att ringa oss direkt. Klickade du på "Rapportera nätfiske" i meddelandet i Outlook?"
Amber andades ut, lättad av Averys sympatiska tonfall. "Ja, samtidigt som jag ringer det här numret."
"Bra. I loggarna ser det ut som att det var en lyckad inloggning nu på morgonen kl. 07:52 lokal tid." säger Avery.
"Det var jag, loggade in för e-post." svarade Amber.
"OK. Och vi hade ett inloggningsförsök några minuter senare vid 8:01, men det var från en okänd enhet och multifaktoruppspelningen erkändes aldrig."
"Precis! Precis när jag ringde dig ville min autentiseringsapp att jag skulle bekräfta en inloggning. Men då var jag orolig för att jag att jag hade blivit utsatt för nätfiske, så jag bekräftar inte det."
"Perfekt", säger Avery, "det är exakt vad vi vill att du ska göra. Bekräfta aldrig ett meddelande om multifaktorautentisering såvida du inte är säker på att det är du som initierade det. Eftersom du fortfarande är inloggad på din bärbara dator måste du gå till din Contoso-profilsida och ändra ditt lösenord direkt. Kan du också vidarebefordra en kopia av det nätfiskemeddelande du har fått, som en bifogad fil?"
"Ja, självklart." säger Amber.
"Perfekt. Jag delar det med teamet som svarar på incidenter så att vi kan varna andra i företaget om att de ska hålla utkik efter det här angreppet. Det var bra genom att inte bekräfta meddelandet om multifaktorautentisering och ringa oss direkt. Jag tycker det ska gå bra."
Amber känner sig lite uppskakad men lättad när hon lägger på. Hon läppjade på sitt nu kalla kaffe och ändrade sitt lösenord.
Sammanfattning
Cirka 4 % av alla som får ett e-postmeddelande med nätfiske klickar på länken. I den här storyn finns ett tillfälligt avbrott i koncentrationen, som skulle kunna hända oss alla, och som kunde få Amber in på en farlig väg. Den första webbplatsen hon såg ser riktig ut, så hon har angett sitt användarnamn och lösenord, men som tur är hon misstänkt och har agerat snabbt innan någon verklig skada har skett.
Vad kunde Amber ha gjort bättre?
-
Varit mycket mer uppmärksam på avsändarens adress (support@contoso-it.net), vilket var ett tydligt frågetecken.
-
När hennes företagslösenord tidigare hade gått ut fick var hon tvungen att ändra lösenordet. Ett e-postmeddelande där hon kan förnya ett utgående lösenord bör ha misstänkt.
-
Hon borde ha tittat på webbadressen till webbplatsen (http://contoso.support.contoso-it.net) som frågar efter hennes användarnamn och lösenord innan hon skickade in sina inloggningsuppgifter. "HTTP" är ett icke-säkert protokoll; som inte skulle användas för att legitimt logga in. Domännamnet är konstigt och "contoso-it.net" istället för "contoso.com" verkar misstänkt.
Vad gjorde Amber rätt?
-
Hon upptäckte slutligen den dåliga webbadressen och hade närvaro att gå tillbaka och kontrollera e-postmeddelandet mer noggrant.
-
När meddelandet om multifaktorautentisering kom på telefonen visste hon att något var fel och hon bekräftar inte det.
-
Hon ringde snabbt företagssäkerhet, sa till dem vad som hänt och rapporterade meddelandet i Outlook.
Vad som kunde ha varit en katastrof blev ok tack vare hennes snabba återhämtning.
Mer information finns i https://support.microsoft.com/security.
Redo för vår nästa berättelse?
Kolla in Cameron lär sig att återanvända lösenord för att ta reda på varför återanvändning av lösenord, även mycket starka lösenord, kan vara en farlig idé.
Vi lyssnar!
Vad tyckte du om den här artikeln? Gillar du att ha cybersäkerhetsinformation presenterade i format som korta historier som den här? Vill du att vi ska kunna göra mer av det här? Välj Ja på feedbackkontrollen nedan om du gillade den, eller Nej om du inte gjorde det. Lämna gärna kommentarer om du har synpunkter på hur vi kan förbättra den eller skicka begäran om kommande ämnen.
Din feedback hjälper oss med framtida innehåll som det här. Tack!
