Tirsdag startet som en vanlig dag for Amber. Hun hadde akkurat satt seg ned ved kjøkkenbordet med kaffe og bagel og åpnet datamaskinen for å sjekke e-post.
Hun var opptatt av et viktig møte hun skulle ha den ettermiddagen – hun skulle presentere Contosos nye produkt for driftsdirektøren i Tailwind Toys – så det kan hende hun var litt åndsfraværende.
Hun tok en slurk av kaffen, klikket på koblingen og skrev inn brukernavnet og passordet på siden som kom opp. Da hun klikket på Send inn, fikk hun imidlertid en ubehagelig følelse. Bekreftelsessiden beroliget henne ikke, og hun så nærmere på adresselinjen.
http://contoso.support.contoso-it.net/confirm
Domenenavnet så ikke riktig ut! Hun kikket på den opprinnelige e-postmeldingen igjen og ble mismodig. Hun hadde ikke lagt merke til domenenavnet i e-postadressen, stavefeilene i meldingen eller det faktum at hun ble omtalt som «kollega» i stedet for med navn. Hun åpnet raskt Teams og søkte i firmakatalogen etter Jason Brown. Som fryktet ... fantes han ikke.
Hun tok telefonen for å ringe Contosos sikkerhetsansvarlige og fortelle om mistankene sine da et varsel plinget. På telefonen sto det en kode for flerfaktorautentisering for kontoen hennes. Noen prøvde å logge seg på som henne. Og vedkommende hadde passordet hennes.
Hun slo straks nummeret til Contosos sikkerhetsansvarlige, og mens det ringte, gikk hun tilbake til innboksen og klikket på Rapporter > Phishing» på meldingen.
«Contoso-sikkerhet, dette er Avery.» Amber nølte et øyeblikk før hun svarte. «Hei, Avery, dette er Amber Rodriguez. Jeg er senior kontoadministrator i Charlotte. Jeg tror jeg ble lurt av en phishing-melding i morges.»
"Ok Amber, hvor lenge siden skjedde det?"
«For bare et par minutter siden. Jeg klikket på koblingen, og før jeg rakk å tenke meg om, skrev jeg inn brukernavnet og passordet på nettstedet.» Amber stålsatte seg for en overhøvling og kanskje en telefon fra personalavdelingen.
"Du gjorde det rette med å ringe oss umiddelbart. Klikket du på «Rapporter phishing» på meldingen i Outlook?»
Amber pustet ut i lettelse over Averys medfølende stemme. «Ja, samtidig som jeg ringte dette nummeret.»
«Bra. I henhold til loggen ser det ut til at noen logget på i dag kl. 07:52,» sa Avery.
«Det var jeg som logget på for å sjekke e-post,» svarte Amber.
"OK. Og vi hadde et påloggingsforsøk noen minutter senere klokken 08.01, men det var fra en ukjent enhet, og multifaktorledeteksten ble aldri anerkjent.»
«Stemmer! Idet jeg ringte deg, ville godkjenningsappen at jeg skulle bekrefte en pålogging. Jeg mistenkte at jeg hadde blitt utsatt for phishing, så jeg bekreftet den ikke.»
«Utmerket,» sa Avery, «det er akkurat det vi vil at du skal gjøre. Bekreft aldri en flerfaktorautentisering med mindre du er sikker på at det er du som startet den. Siden du fremdeles er logget på datamaskinen, må du gå til Contoso-profilsiden din og endre passordet ditt med én gang. Kan du også videresende en kopi av phishing-meldingen du fikk, som et vedlegg?»
«Ja, selvfølgelig,» sa Amber.
«Flott. Jeg deler den med sikkerhetsteamet, slik at vi kan varsle andre i firmaet om å være på vakt mot dette angrepet. Men du gjorde helt riktig i å ikke bekrefte flerfaktorautentiseringen og ringe oss med én gang. Jeg synes det skal gå bra."
Amber la på og følte seg både lettet og litt oppskaket. Hun nippet til den nå iskalde kaffen og endret passordet sitt.
Oppsummering
Cirka 4 % av alle som mottar en phishing-e-post, klikker på koblingen. I denne fortellingen holder det på å gå galt for Amber da hun mistet konsentrasjonen et øyeblikk, noe som kan skje med oss alle. Det første nettstedet hun kom til, så ekte nok ut, så hun skrev inn brukernavnet og passordet, men heldigvis fattet hun mistanke og handlet raskt før noen virkelig skade var skjedd.
Hva kunne Amber ha gjort bedre?
-
Sett nærmere på avsenderadressen (support@contoso-it.net), som åpenbart var mistenkelig.
-
Da firmapassordet hadde utløpt tidligere, måtte hun alltid endre passordet. En e-postmelding om at hun kan fornye passordet som holder på å utløpe, burde ha gjort henne mistenksom.
-
Hun skulle ha sett på nettadressen til nettstedet (http://contoso.support.contoso-it.net) som ba om brukernavnet og passordet hennes, før hun oppga legitimasjonen. «HTTP» er en ikke-sikker protokoll; som ikke ville bli brukt til å legitimt logge på. Selve domenenavnet er rart, og «contoso-it.net» i stedet for «contoso.com» virker mistenkelig.
Hva gjorde Amber rett?
-
Hun oppdaget til slutt den ugyldige nettadressen og var åndsnærværende nok til å gå tilbake og sjekke e-postmeldingen nøyere.
-
Da meldingen om flerfaktorautentisering kom inn på telefonen, visste hun at noe var galt, og hun bekreftet den ikke.
-
Hun ringte straks til sikkerhetsansvarlige og fortalte hva som hadde skjedd, og hun rapporterte meldingen i Outlook.
Det som kunne ha vært en katastrofe viste seg ok takket være hennes raske utvinning.
Hvis du vil vite mer, kan du gå til https://support.microsoft.com/security.
Er du klar for vår neste historie?
Ta en titt på Cameron lærere om gjenbruk av passord for å finne ut hvorfor gjenbruk av passord, selv svært sterke passord, kan være en farlig idé.
Vi er interessert i å høre hva du har å si.
Hva synes du om denne artikkelen? Likte du å få informasjon om cybersikkerhet presentert i form av en kort fortelling som denne? Vil du at vi skal gjøre mer av dette? Velg Ja på tilbakemeldingskontrollen nedenfor hvis du likte det, eller Nei hvis du ikke likte det. Legg gjerne igjen en kommentar hvis du har tilbakemelding om hvordan vi kan gjøre det bedre, eller forespørsler om fremtidige emner.
Vi bruker tilbakemeldingen til å veilede oss om innhold som dette i fremtiden. Takk!
