Ambers tirsdag startet som alle andre. Hun satte seg bare ved kjøkkenbordet med kaffen og bagelen og åpnet den bærbare datamaskinen for å sjekke e-posten sin.
Hun var litt opptatt av et viktig møte hun hadde den ettermiddagen – og sendte Contosos nye produkt til chief operating officer i Tailspin Toys – så hun kunne ha blitt litt distrahert.
Hun tok en slurk av kaffen, klikket på koblingen og skrev inn brukernavnet og passordet på siden som kom opp. Da hun klikket på «Send inn», kom det imidlertid en ubehagelig følelse over henne. «Bekreftelse»-siden satte henne ikke rolig, og hun så nøye på adresselinjen.
http://contoso.support.contoso-it.net/confirm
Det domenenavnet så ikke riktig ut! Hun kikket på den opprinnelige e-postmeldingen igjen og ble mismodig. Hun hadde ikke lagt merke til domenenavnet i e-postadressen, feilstavingene i meldingen eller det faktum at det adresserte henne som «kollega» i stedet for ved navn. Hun åpnet teams raskt og søkte i firmakatalogen etter en «Jason Brown». Som hun fryktet... det var ingen.
Hun tok telefonen for å ringe Contoso bedriftens sikkerhet og rapportere hennes mistanker akkurat som varselet "ding" hørtes. På telefonen sto det en kode for flerfaktorautentisering for kontoen hennes. Noen prøvde å logge seg på som henne. Og vedkommende hadde passordet hennes.
Hun ringte umiddelbart nummeret for Contosos firmasikkerhet, og mens det ringte, gikk hun tilbake til innboksen og klikket på Rapport > Phishing i meldingen.
"Contoso security, Avery speaking." Amber nølte et øyeblikk før hun svarte. "Hei, Avery, dette er Amber Rodriguez. Jeg er en senior account manager i Charlotte. Jeg tror jeg falt for en phishing-melding i morges.»
"Ok Amber, hvor lenge siden skjedde det?"
"Bare et par minutter siden. Jeg klikket på koblingen, og før jeg tenkte bedre på den, la jeg inn brukernavnet og passordet på nettstedet.» Amber stålsatte seg for en overhøvling og kanskje en telefon fra personalavdelingen.
"Du gjorde det rette med å ringe oss umiddelbart. Klikket du Rapportphishing i meldingen i Outlook?»
Amber pustet ut, litt lettet av Averys empatiske tone. "Ja, akkurat som jeg ringte dette nummeret."
"Bra. Fra loggene ser det ut til at det var en vellykket pålogging i morges kl. 07:52 din tid." sa Avery.
«Det var meg som logget på for e-post.» svarte Amber.
"OK. Og vi hadde et påloggingsforsøk noen minutter senere klokken 08.01, men det var fra en ukjent enhet, og multifaktorledeteksten ble aldri anerkjent.»
"Ikke sant! Idet jeg ringte deg, ville godkjenningsappen at jeg skulle bekrefte en pålogging. Da var jeg bekymret for at jeg hadde blitt phished, så jeg bekreftet det ikke."
"Utmerket," sa Avery, "det er akkurat det vi vil at du skal gjøre. Bekreft eller bekreft aldri en ledetekst om godkjenning med flere faktorer, med mindre du er sikker på at det er du som startet den. Siden du fortsatt er logget på den bærbare datamaskinen, må du gå til Contoso-profilsiden og endre passordet med en gang. Kan du også videresende meg en kopi av phishing-meldingen du mottok , som et vedlegg?»
"Ja, selvfølgelig." sa Amber.
"Fantastisk. Jeg deler det med responsteamet for hendelser, slik at vi kan advare andre i selskapet om å være på utkikk etter dette angrepet. Men du gjorde helt riktig i å ikke bekrefte flerfaktorautentiseringen og ringe oss med én gang. Jeg synes det burde gå bra."
Amber la på og følte seg både lettet og litt oppskaket. Hun nippet til den nå iskalde kaffen og endret passordet sitt.
Oppsummering
Cirka 4 % av alle som mottar en phishing-e-post, klikker på koblingen. I denne fortellingen holder det på å gå galt for Amber da hun mistet konsentrasjonen et øyeblikk, noe som kan skje med oss alle. Det første nettstedet hun kom til, så ekte nok ut, så hun skrev inn brukernavnet og passordet, men heldigvis fattet hun mistanke og handlet raskt før noen virkelig skade var skjedd.
Hva kunne Amber ha gjort bedre?
-
Sett nærmere på avsenderadressen (support@contoso-it.net), som åpenbart var mistenkelig.
-
Da firmapassordet hennes hadde utløpt tidligere, måtte hun alltid endre passordet. En e-postmelding om at hun kan fornye passordet som holder på å utløpe, burde ha gjort henne mistenksom.
-
Hun skulle ha sett på nettadressen til nettstedet (http://contoso.support.contoso-it.net) som ba om brukernavnet og passordet hennes, før hun oppga legitimasjonen. «HTTP» er en ikke-sikker protokoll; som ikke ville bli brukt til å legitimt logge på. Selve domenenavnet er rart, og «contoso-it.net» i stedet for «contoso.com» virker mistenkelig.
Hva gjorde Amber rett?
-
Hun oppdaget til slutt den ugyldige nettadressen og var åndsnærværende nok til å gå tilbake og sjekke e-postmeldingen nøyere.
-
Da meldingen om godkjenning med flere faktorer kom inn på telefonen hennes, visste hun at noe var galt, og hun bekreftet det ikke.
-
Hun ringte straks til sikkerhetsansvarlige og fortalte hva som hadde skjedd, og hun rapporterte meldingen i Outlook.
Det som kunne ha vært en katastrofe viste seg ok takket være hennes raske utvinning.
Hvis du vil vite mer, kan du gå til https://support.microsoft.com/security.
Er du klar for vår neste historie?
Ta en titt på Cameron lærere om gjenbruk av passord for å finne ut hvorfor gjenbruk av passord, selv svært sterke passord, kan være en farlig idé.
Vi er her for deg.
Hva synes du om denne artikkelen? Likte du å få informasjon om cybersikkerhet presentert i form av en kort fortelling som denne? Vil du at vi skal gjøre mer av dette? Velg Ja på tilbakemeldingskontrollen nedenfor hvis du likte det, eller Nei hvis du ikke likte det. Legg gjerne igjen en kommentar hvis du har tilbakemelding om hvordan vi kan gjøre det bedre, eller forespørsler om fremtidige emner.
Vi bruker tilbakemeldingen til å veilede oss om innhold som dette i fremtiden. Takk!
