A terça-feira da Amber começou como qualquer outra. Ela tinha acabado de se sentar na mesa da cozinha com seu café e bagel e abriu seu laptop para marcar seu email.
Ela estava um pouco preocupada com uma reunião importante que teve naquela tarde - lançando o novo produto da Contoso para o Diretor de Operações da Tailspin Toys - então ela poderia ter se distraído um pouco.
Ao tomar outro gole de café, ela clicou no link e inseriu seu nome de usuário e senha na página seguinte. Quando ela clicou em "Enviar", no entanto, um sentimento desconfortável veio sobre ela. A página de "confirmação" não a colocou à vontade e ela olhou cuidadosamente para a barra de endereços.
http://contoso.support.contoso-it.net/confirm
Esse nome de domínio não parecia certo! Ela olhou novamente o email original e seu coração parou. Ela não tinha notado o nome de domínio no endereço de email, os erros ortográficos na mensagem ou o fato de que ele a abordou como "colega" em vez de pelo nome. Ela rapidamente abriu o Teams e procurou o diretório da empresa por um "Jason Brown". Como ela temia... não havia um.
Ela pegou seu telefone para chamar a segurança corporativa da Contoso e relatar suas suspeitas assim que a notificação "ding" soou. Olhando para o telefone dela, havia um código de autenticação multifator para sua conta. Alguém ESTAVA tentando entrar como se fosse ela. E eles tinham a senha dela.
Ela imediatamente discou o número para a segurança corporativa da Contoso, e enquanto ele tocou ela voltou para sua caixa de entrada e clicou em Relatório > Relatório Phishing na mensagem.
"Segurança contoso, Avery falando." Amber parou por um segundo e, em seguida, respondeu. "Olá Avery, esta é Amber Rodriguez. Sou gerente de conta sênior em Charlotte. Acho que me apaixonei por uma mensagem de phishing esta manhã."
"Ok Amber, há quanto tempo isso aconteceu?"
"Apenas alguns minutos atrás. Cliquei no link e, antes de pensar melhor, coloquei meu nome de usuário e senha no site.". Amber estava se preparando para uma chamada de atenção, e talvez uma ligação do RH.
"Você fez a coisa certa nos dando uma chamada imediatamente. Você clicou em 'Relatar Phishing' na mensagem no Outlook?"
Amber exalou, um pouco aliviada pelo tom empático de Avery. "Sim, bem como eu estava discando este número."
"Bom. Nos logs parece que houve um logon bem-sucedido esta manhã às 7:52 da sua vez." Avery disse.
"Esse era eu, entrando por email." Amber respondeu.
"OK. E tivemos uma tentativa de entrada alguns minutos depois, às 8h01, mas era de um dispositivo desconhecido e o prompt multifator nunca foi reconhecido."
"Certo! Enquanto eu te ligava, meu aplicativo autenticador pediu para confirmar um logon. Nesse ponto eu estava preocupado que eu tinha sido phished, então eu não confirmá-lo.
"Excelente", disse Avery, "é exatamente o que queremos que você faça. Nunca reconheça ou confirme um prompt de autenticação multifator, a menos que você tenha certeza de que foi você quem o iniciou. Como você ainda está conectado ao seu laptop, preciso que vá para a página de perfil da Contoso e altere sua senha imediatamente. Você também pode me encaminhar uma cópia da mensagem de phishing recebida, como um anexo?"
"Sim, é claro." disse Amber.
"Fantástico. Vou compartilhá-lo com a equipe de resposta a incidentes para que possamos avisar outros na empresa para estarem atentos a este ataque. Mas você agiu muito bem ao não confirmar o aviso de autenticação multifator e ligar para a gente imediatamente. Eu acho que deveria ser ok.
Amber desligou um pouco abalada, mas aliviada. Ela tomou um gole do café, que já estava frio, e alterou a senha dela.
Resumo
Aproximadamente 4% das pessoas que recebem um email de phishing clicam no link. Nesta história, um lapso temporário de concentração, que pode acontecer com qualquer um de nós, colocou a Amber em uma situação de perigo. O primeiro site que ela viu parecia real, então ela inseriu seu nome de usuário e senha, mas, felizmente, ela ficou desconfiada e tomou medidas rápidas antes que qualquer dano real acontecesse.
O que a Amber poderia ter feito melhor?
-
Prestado mais atenção ao endereço do remetente (support@contoso-it.net), o que era claramente “phishy”.
-
Quando a senha da empresa expirou no passado, ela sempre teve que alterar essa senha. Uma oferta por email permitindo que ela renovasse uma senha expirada deveria ter soado suspeito.
-
Ela devia ter olhando para o endereço Web do site (http://contoso.support.contoso-it.net), que estava solicitando seu nome de usuário e senha, antes de enviar suas credenciais. "HTTP" é um protocolo não seguro; que não seria usado para fazer entrada de forma legítima. O nome de domínio em si é estranho, e "contoso-it.net" em vez de "contoso.com" parece suspeito.
O que a Amber fez de certo?
-
Ela acabou percebendo o endereço Web estranho e teve a ideia de verificar a mensagem de email novamente com mais cuidado.
-
Quando a mensagem de autenticação multifator entrou em seu telefone, ela sabia que algo estava errado e ela não confirmou.
-
Na mesma hora ela ligou para a segurança corporativa, contou a eles o que aconteceu e relatou a mensagem no Outlook.
O que poderia ter sido um desastre acabou bem graças à sua rápida recuperação.
Para saber mais, visite https://support.microsoft.com/security.
Pronto para nossa próxima história?
Confira Cameron aprende sobre a reutilização de senhas para descobrir por que reutilizar senhas, mesmo senhas muito fortes, pode ser uma ideia perigosa.
Estamos ouvindo!
O que você acha deste artigo? Você gostou de ter informações de segurança cibernética apresentadas em formato de conto como este? Gostaria de nos ver fazer mais disso? Selecione Sim no controle de comentários a seguir se você gostou disso, ou Não se não gostou. E sinta-se à vontade para nos deixar comentários se você tiver algum feedback sobre como podemos melhorar isso, ou para solicitar por tópicos futuros.
Seu feedback ajudará a nos orientar sobre futuros conteúdos como este. Obrigado!
