Ambers tisdag började som vilken annan som helst. Hon hade precis satt sig vid köksbordet med sitt kaffe och bagel och öppnade sin bärbara dator för att kolla sin e-post.
Hon var lite upptagen med ett viktigt möte hon hade den eftermiddagen – pitching Contosos nya produkt till Chief Operating Officer of Tailspin Toys - så hon kan ha varit lite distraherad.
När hon tog ytterligare en mun kaffe klickade hon på länken och angav sitt användarnamn och lösenord på sidan som dök upp. När hon klickade på "Skicka" kom dock en obekväm känsla över henne. Bekräftelsesidan lugnade henne inte och hon tittade noga i adressfältet.
http://contoso.support.contoso-it.net/confirm
Domännamnet såg inte bra ut! Hon tittade tillbaka på det ursprungliga e-postmeddelandet och hennes hjärtans sjönk. Hon hade inte lagt märke till domännamnet i e-postadressen, stavfelen i meddelandet eller det faktum att det adresserade henne som "kollega" i stället för vid namn. Hon öppnade snabbt Teams och sökte i företagskatalogen efter en "Jason Brown". Som hon fruktade... det fanns ingen.
Hon tog tag i sin telefon för att ringa Contosos företagssäkerhet och rapportera sina misstankar precis när meddelandet "ding" lät. När hon tittar på telefonen är det en kod för multifaktorautentisering för hennes konto. Någon FÖRSÖKTE logga in som henne. Och de hade hennes lösenord.
Hon slog omedelbart numret för Contosos företagssäkerhet, och medan det ringde gick hon tillbaka till sin inkorg och klickade på Rapportera > rapportera nätfiske i meddelandet.
"Contoso säkerhet, Avery talar." Han pausade en sekund och svarade sedan. "Hej Avery, det här är Amber Rodriguez. Jag är senior account manager i Charlotte. Jag tror att jag föll för ett nätfiskemeddelande i morse."
"Ok Amber, hur länge sedan hände det?"
"För bara ett par minuter sedan. Jag klickade på länken och innan jag tänkte på det satte jag mitt användarnamn och lösenord på webbplatsen." Amber beredde sig på en utskällning och kanske ett samtal från personalavdelningen.
"Du gjorde rätt i att ringa oss direkt. Klickade du på "Rapportera nätfiske" i meddelandet i Outlook?"
Amber andades ut, lite lättad av Averys empatiska ton. "Ja, precis när jag slog det här numret."
"Bra. Från loggarna ser det ut som att det var en lyckad inloggning i morse kl 07:52 din tid." säger Avery.
"Det var jag som loggade in för e-post." svarade Amber.
"OK. Och vi hade ett inloggningsförsök några minuter senare vid 8:01, men det var från en okänd enhet och multifaktoruppspelningen erkändes aldrig."
"Rätt! Precis när jag ringde dig ville min autentiseringsapp att jag skulle bekräfta en inloggning. Vid det laget var jag orolig för att jag hade blivit phished, så jag bekräftade det inte."
"Utmärkt", sa Avery, "det är precis vad vi vill att du ska göra. Bekräfta aldrig en uppmaning om multifaktorautentisering om du inte är säker på att det var du som initierade den. Eftersom du fortfarande är inloggad på din bärbara dator måste du gå till din Contoso-profilsida och ändra ditt lösenord direkt. Kan du även vidarebefordra en kopia av nätfiskemeddelandet som du har fått som en bifogad fil?"
»Ja, naturligtvis», sade Amber.
"Fantastiskt. Jag delar det med incidentsvarsteamet så att vi kan varna andra i företaget för att vara på jakt efter den här attacken. Det var bra genom att inte bekräfta meddelandet om multifaktorautentisering och ringa oss direkt. Jag tycker det ska gå bra."
Amber känner sig lite uppskakad men lättad när hon lägger på. Hon läppjade på sitt nu kalla kaffe och ändrade sitt lösenord.
Sammanfattning
Cirka 4 % av alla som får ett e-postmeddelande med nätfiske klickar på länken. I den här storyn finns ett tillfälligt avbrott i koncentrationen, som skulle kunna hända oss alla, och som kunde få Amber in på en farlig väg. Den första webbplatsen hon såg ser riktig ut, så hon har angett sitt användarnamn och lösenord, men som tur är hon misstänkt och har agerat snabbt innan någon verklig skada har skett.
Vad kunde Amber ha gjort bättre?
-
Varit mycket mer uppmärksam på avsändarens adress (support@contoso-it.net), vilket var ett tydligt frågetecken.
-
När hennes företagslösenord hade gått ut tidigare hade hon alltid varit tvungen att ändra lösenordet. Ett e-postmeddelande där hon kan förnya ett utgående lösenord bör ha misstänkt.
-
Hon borde ha tittat på webbadressen till webbplatsen (http://contoso.support.contoso-it.net) som frågar efter hennes användarnamn och lösenord innan hon skickade in sina inloggningsuppgifter. "HTTP" är ett icke-säkert protokoll; som inte skulle användas för att legitimt logga in. Domännamnet är konstigt och "contoso-it.net" istället för "contoso.com" verkar misstänkt.
Vad gjorde Amber rätt?
-
Hon upptäckte slutligen den dåliga webbadressen och hade närvaro att gå tillbaka och kontrollera e-postmeddelandet mer noggrant.
-
När meddelandet om multifaktorautentisering kom in på hennes telefon visste hon att något var fel och hon bekräftade det inte.
-
Hon ringde snabbt företagssäkerhet, sa till dem vad som hänt och rapporterade meddelandet i Outlook.
Vad som kunde ha varit en katastrof blev ok tack vare hennes snabba återhämtning.
Mer information finns i https://support.microsoft.com/security.
Redo för vår nästa berättelse?
Kolla in Cameron lär sig att återanvända lösenord för att ta reda på varför återanvändning av lösenord, även mycket starka lösenord, kan vara en farlig idé.
Vi lyssnar!
Vad tyckte du om den här artikeln? Gillar du att ha cybersäkerhetsinformation presenterade i format som korta historier som den här? Vill du att vi ska kunna göra mer av det här? Välj Ja på feedbackkontrollen nedan om du gillade den, eller Nej om du inte gjorde det. Lämna gärna kommentarer om du har synpunkter på hur vi kan förbättra den eller skicka begäran om kommande ämnen.
Din feedback hjälper oss med framtida innehåll som det här. Tack!
