Ambers tirsdag startede som alle andre. Hun havde lige sat sig ved køkkenbordet med sin kaffe og bagel og åbnet sin bærbare computer for at tjekke hendes e-mail.
Hun var lidt optaget af et vigtigt møde, hun havde den eftermiddag – hun viste Contosos nye produkt til Chief Operating Officer hos Tailspin Toys – så hun kunne have været lidt distraheret.
Mens hun tog en tår mere af sin kaffe, klikkede hun på linket og indtastede sit brugernavn og sin adgangskode på den efterfølgende side. Da hun klikkede på "Send", kom der dog en ubehagelig følelse over hende. "Bekræftelsessiden" beroligede hende ikke, og hun kiggede omhyggeligt på adresselinjen.
http://contoso.support.contoso-it.net/confirm
Domænenavnet så ikke rigtigt ud! Hun kastede et blik på den oprindelige mail, og hendes hjerte sank. Hun havde ikke bemærket domænenavnet i mailadressen, stavefejlene i meddelelsen eller det faktum, at hun blev behandlet som "kollega" i stedet for ved navn. Hun åbnede hurtigt Teams og søgte i firmaets telefonbog efter en "Jason Brown". Som hun frygtede... Der var ikke en.
Hun tog sin telefon for at ringe til Contoso corporate security og rapportere hendes mistanke, ligesom meddelelsen "ding" lød. Hun kiggede på telefonen og så, at det var en kode til multifaktorgodkendelse til hendes konto. Der VAR nogen, der forsøgte at logge på som hende. Og de havde hendes adgangskode.
Hun ringede straks til contoso-sikkerhedsnummeret, og mens det ringede, gik hun tilbage til sin indbakke og klikkede på Rapportér > Rapportér phishing på meddelelsen.
"Contoso sikkerhed, Avery taler." Amber tøvede lidt og svarede derefter. "Hej Avery, det er Amber Rodriguez. Jeg er senior account manager i Charlotte. Jeg tror, jeg faldt for en phishing-meddelelse i morges."
"OK Amber, hvor længe siden skete det?"
"For bare et par minutter siden. Jeg klikkede på linket, og før jeg tænkte bedre over det, lagde jeg mit brugernavn og min adgangskode på webstedet." Amber forberedte sig på skældud og måske et opkald fra HR.
"Du gjorde det rigtige at ringe til os med det samme. Klikkede du på "Rapportér phishing" i meddelelsen i Outlook?"
Amber udåndet, lidt lettet over Averys empatiske tone. "Ja, lige da jeg ringede til dette nummer."
"Godt. Ud fra logfilerne ser det ud til, at der var et vellykket login i morges kl. 7:52 din tid." Sagde Avery.
"Det var mig, der loggede på til mail." Svarede Amber.
"OKAY. Og vi havde et logonforsøg et par minutter senere kl. 8:01, men det var fra en ukendt enhed, og multifaktorprompten blev aldrig accepteret."
"Til højre! Akkurat som jeg skulle til at ringe til dig, ville min godkenderapp have mig til at godkende et logon. På det tidspunkt var jeg bange for, at jeg var blevet phished, så jeg bekræftede det ikke."
"Fremragende," sagde Avery, "det er præcis, hvad vi vil have dig til at gøre. Acceptér eller bekræft aldrig en anmodning om multifaktorgodkendelse, medmindre du er sikker på, at det er dig, der startede den. Da du stadig er logget på din bærbare computer, skal du gå til din Contoso-profilside og ændre din adgangskode med det samme. Kan du også sende mig en kopi af den phishingmeddelelse, du har modtaget , som en vedhæftet fil?"
"Ja, selvfølgelig." sagde Amber.
"Fantastisk. Jeg deler det med teamet til hændelsesrespons, så vi kan advare andre i virksomheden om at være på udkig efter dette angreb. Du har håndteret det helt rigtigt ved ikke at godkende meddelelsen om multifaktorgodkendelse og ved at ringe til os med det samme. Jeg synes, det skal være ok."
Da Amber lagde røret på, var hun lidt rystet, men også lettet. Hun nippede til sin kaffe, der nu var blevet kold, og ændrede sin adgangskode.
Sammendrag
Ca. 4 % af de personer, der modtager en phishingmail, klikker på linket. I denne historie fører et øjebliks manglende koncentration, som enhver af os kan opleve, Amber på en farlig vej. Det første websted, hun så, så rigtigt nok ud, så hun angav sit brugernavn og sin adgangskode, men heldigvis blev hun mistænksom og reagerede hurtigt, inden der var sket nogen egentlig skade.
Hvad kunne Amber have gjort bedre?
-
Hun skulle have været mere opmærksom på afsenderadressen (support@contoso-it.net), som tydeligvis var mistænkelig.
-
Når hendes virksomhedsadgangskode tidligere var udløbet, var hun altid nødt til at ændre adgangskoden. En mail, der giver hende mulighed for at forny en adgangskode, som er ved at udløbe, burde have virket mistænkelig.
-
Hun skulle have kigget på webadressen for det websted (http://contoso.support.contoso-it.net), der bad om hendes brugernavn og adgangskode, inden hun sendte sine legitimationsoplysninger. "HTTP" er en ikke-sikker protokol; som ikke ville blive brugt til legitimt at logge på. Selve domænenavnet er akavet, og det virker mistænkeligt med "contoso-it.net" i stedet for "contoso.com".
Hvad gjorde Amber rigtigt?
-
I sidste ende bemærkede hun den forkerte webadresse og var fornuftig nok til at gå tilbage og kontrollere mailen mere omhyggeligt.
-
Da meddelelsen om multifaktorgodkendelse blev leveret på hendes telefon, vidste hun, at der var noget galt, og hun bekræftede det ikke.
-
Hun ringede straks til virksomhedens sikkerhedsafdeling, fortalte ærligt om det, der var sket, og rapporterede meddelelsen i Outlook.
Hvad kunne have været en katastrofe viste sig ok takket være hendes hurtige opsving.
Hvis du vil vide mere, kan du besøge https://support.microsoft.com/security.
Er du klar til vores næste historie?
Se Eleven lærer om genbrug af adgangskoder for at finde ud af, hvorfor genbrug af adgangskoder, selv meget stærke adgangskoder, kan være en farlig ide.
Vi lytter!
Hvad synes du om denne artikel? Kunne du lide at få præsenteret oplysninger om cybersikkerhed i form af en kort historie som denne? Kunne du tænke dig, at vi gør mere af dette? Vælg Ja på kontrolelementet til feedback nedenfor, hvis du syntes godt om det, eller Nej, hvis du ikke gjorde. Du er også velkommen til at skrive eventuelle kommentarer, hvis du har feedback om, hvordan vi kan gøre det bedre, eller anmodninger om fremtidige emner.
Din feedback hjælper os, når vi laver indhold som dette i fremtiden. Mange tak!
