Бурштиновий вівторок почався, як і будь-який інший. Вона просто сіла за свій кухонний стіл зі своєю кавою і бублик і відкрила свій ноутбук, щоб перевірити її електронну пошту.
Вона була трохи зайнята важливою зустріччю, яку вона провела того дня - пітчинг нового продукту Contoso головному операційному директору Tailwind Toys - тому вона, можливо, трохи відволіклася.
Беручи ще один ковток кави, вона клацала посилання та ввели своє ім'я користувача та пароль на сторінці, яка послідувала за ним. Однак, коли вона натиснув кнопку "Надіслати", на неї з'явилося незручне відчуття. Сторінка "підтвердження" не поклала її невимушено, і вона уважно виглядала в рядку адреси.
http://contoso.support.contoso-it.net/confirm
Це ім'я домену не виглядало правильно! Вона поглянула назад на оригінальний електронний лист, і її серце затонуло. Вона не помітила ім'я домену в адресі електронної пошти, орфографічних помилках у повідомленні або в тому, що воно звернулося до неї як до "колеги", а не за іменем. Вона швидко відкрила Teams і пошукала в каталозі компанії "Джейсон Браун". Як вона боялася... там не було.
Вона схопила свій телефон, щоб зателефонувати в корпоративну безпеку Contoso і повідомити про свої підозри так само, як пролунало сповіщення "ding". Дивлячись на її телефон, це був код багатофакторної автентифікації для її облікового запису. Хтось намагався увійти як вона. І у них був її пароль.
Вона відразу ж набрала номер корпоративної безпеки Contoso, і під час виклику вона повернулася до своєї папки "Вхідні" та натисне на повідомлення кнопку "Повідомити > фішинг".
"Contoso security, Avery speaking." Бурштиновий зупинився на секунду, а потім відповів. "Привіт, Ейвері, це Ембер Родрігес. Я старший менеджер з облікових записів у Шарлотті. Я думаю, що я впав на фішингове повідомлення сьогодні вранці".
"ОК Бурштин, як давно це сталося?"
"Всього пару хвилин тому. Я перейшов за посиланням, і перш ніж я подумав про це краще, я поклав своє ім'я користувача і пароль на сайт ". Бурштин був bracing для лаяння, і, можливо, дзвінок від HR.
"Ви зробили правильну річ, даючи нам дзвінок негайно. Ви натиснете кнопку "Повідомити про фішинг" у повідомленні в Outlook?"
Бурштиновий видих, трохи полегшений емпатичним тоном Avery. "Так, так, як я набирав цей номер"."
"Добре. З журналів схоже, що був успішний вхід сьогодні вранці о 7:52 ваш час ". - сказав Ейвері.
"Це я, увійшовши в електронну пошту"." - відповіла Ембер.
"ДОБРЕ. І ми намагалися ввійти через кілька хвилин о 8:01, але це було з невідомого пристрою, і багатофакторна підказка ніколи не була визнана".
"Правильно! Так само, як я дзвонив вам, моя програма-автентифікатор хотіла, щоб я підтвердив вхід. До того моменту я був стурбований тим, що я був фішинг, так що я не підтвердив це ".
"Відмінно,—сказав Avery,—це саме те, що ми хочемо, щоб ви робили. Ніколи не підтвердьте та не підтвердьте запит на багатофакторну автентифікацію, якщо ви не впевнені, що це той, хто його ініціював. Оскільки ви все ще ввійшли в систему на ноутбуці, вам потрібно відразу перейти на сторінку профілю Contoso та змінити пароль . Чи можете ви переслати мені копію отриманого фішингового повідомлення як вкладення?"
"Так, звісно". - сказала Ембер.
"Приголомшливо. Я поділю його з командою реагування на інцидент, щоб ми могли попередити інших в компанії, щоб вони були в пошуку цієї атаки. Ви зробили великий, не підтверджуючи повідомлення про багатофакторну автентифікацію та зателефонувавши нам відразу. Я думаю, це має бути добре".
Бурштин повісився почуття трохи потряс, але з полегшенням. Вона випила свою тепер холодну каву і змінила свій пароль.
Зведення
Приблизно 4% людей, які отримали фішингове повідомлення електронної пошти, клацніть посилання. У цій історії тимчасовий уповільнений аналіз концентрації, який міг статися з будь-яким з нас, поставив Бурштин на небезпечний шлях. Перший веб-сайт, який вона побачила, виглядав досить реально, тому вона вступила в своє ім'я користувача і пароль, але, на щастя, вона отримала підозру і вжила швидких заходів, перш ніж будь-яка реальна шкода була завдана.
Що бурштин міг би зробити краще?
-
Приділили більше уваги адресі відправника (support@contoso-it.net), яка була явно «фішингом».
-
Коли термін дії пароля компанії минув у минулому, їй завжди доводилося змінювати цей пароль. Повідомлення електронної пошти з пропозицією дозволити їй поновити пароль, термін дії якого минув, повинен був здатися підозрілим.
-
Вона повинна була подивитися на веб-адресу сайту (http://contoso.support.contoso-it.net), який просив її ім'я користувача і пароль, перш ніж вона представила свої облікові дані. "HTTP" є незабезпеченим протоколом; які не використовуватимуться для законного входу. Саме ім'я домену незручне, а "contoso-it.net", а не "contoso.com", здається підозрілим.
Що Бурштин зробив правильно?
-
Вона в кінцевому підсумку помітила погану веб-адресу і була наявність розуму, щоб повернутися і перевірити повідомлення електронної пошти більш ретельно.
-
Коли на її телефоні з'явилося повідомлення про багатофакторну автентифікацію, вона знала, що щось не так, і вона не підтвердила це.
-
Вона швидко подзвонила в корпоративну безпеку, відверто розповіла, що сталося, і повідомила про повідомлення в Outlook.
Те, що могло бути катастрофою, виявилося добре завдяки її швидкому одужанні.
Щоб дізнатися більше, відвідайте https://support.microsoft.com/security.
Готові до нашої наступної історії?
Від'їзд Камерон дізнається про повторне використання паролів , щоб з'ясувати, чому повторне використання паролів, навіть дуже надійні паролі, може бути небезпечною ідеєю.
Ми прислухаємося до ваших побажань!
Що ви думали з цієї статті? Чи подобається вам мати інформацію про кібербезпеку, представлену у форматі короткої історії, як це? Хочете бачити, як ми робимо більше цього? Натисніть кнопку Так на елементі керування відгуком нижче, якщо він вам сподобався, або Ні , якщо ні. Якщо у вас є відгуки про те, як ми можемо зробити це краще, або запитайте на майбутні теми, ви можете залишити свої коментарі.
Ваш відгук допоможе нам переглянути такий вміст у майбутньому. Дякуємо!
