Атака через OneNote електронною поштою

Що ви дізнаєтесь у Атака через OneNote електронною поштою

• Визначати характеристики BEC-атаки з попереднім моніторингом, де злочинці спостерігають за поштовими ланцюжками перед дією
• Виявляти схожі домени шляхом посимвольної перевірки адрес відправників порівняно з відомими контактами
• Застосовувати процедури верифікації через альтернативний канал зв'язку для підтвердження змін платіжних реквізитів
• Розпізнавати, як зловмисники використовують реальні деталі проєктів та суми рахунків для побудови довіри до шахрайських запитів
• Пояснювати, чому підтвердження лише через електронну пошту є недостатнім для будь-якої зміни фінансової транзакції, незалежно від того, наскільки легітимно виглядає запит

Атака через OneNote електронною поштою — Кроки навчання

1. Вступ: очікуємо на критично важливі контрактні документи

   Протягом двох місяців ви працювали з Бобом Ченом, генеральним директором DataFlow Analytics, над продовженням річного контракту на 500 000 доларів США. Боб пообіцяв надіслати підписані контрактні документи цього тижня, але вони ще не надійшли. Ваша юридична команда та менеджер щодня запитували ці документи – без підпису Боба угода не може бути завершена. Сьогодні п’ятниця, 16:45. Ви востаннє перевіряєте свою електронну пошту перед вихідними, сподіваючись, що Боб нарешті надіслав контракти.

2. Приходить довгоочікуваний електронний лист

   Нове повідомлення від Боба Чена з'являється у верхній частині вашої папки 'Вхідні'! Тема: «Підписані контрактні документи – остаточна версія». Після тижнів очікування Боб нарешті надіслав документи. Ви можете завершити угоду на вихідних і оголосити про продовження контракту в понеділок. Є посилання на файл OneNote – компанія Боба часто ділиться документами через OneDrive, тому це здається нормальним.

3. Відкриття посилання на договір

   Ти не вагайся. Електронний лист виглядає цілком законним – він надійшов із адреси Боба DataFlow Analytics, у ньому згадується затримка затвердження правління, про яку він вам сказав, а тема точно відповідає тому, що ви очікували. Ви натискаєте посилання. Ваш веб-переглядач відкриває сторінку OneDrive із попереднім переглядом документа OneNote. Сторінка виглядає точно так само, як інтерфейс Microsoft – той самий бренд, кольори та макет. Є попередній перегляд документа, який показує договір з підписами та корпоративним бланком.

4. Запит на вхід

   На сторінці відображається форма входу Microsoft. Це нормально – ви часто проходите автентифікацію під час доступу до документів, якими поділилися зовнішні партнери. Сторінка має належний бренд Microsoft і виглядає точно так само, як сторінка автентифікації, яку ви бачите десятки разів на тиждень, коли зовнішні клієнти обмінюються файлами.

5. Введення ваших облікових даних

   Форма входу з’являється у знайомому стилі Microsoft. Ви проходили автентифікацію за спільними посиланнями OneDrive сотні разів раніше. Ви без вагань вводите свою робочу електронну пошту та пароль — ці контракти вам знадобляться для юридичної групи в понеділок вранці. П’ятниця о 16:50, і ви хочете переглянути документи на вихідних.

6. щось пішло не так

   Після введення облікових даних на сторінці з’явиться індикатор завантаження, а потім — «Час очікування з’єднання минув». Ви намагаєтеся отримати доступ до корпоративної електронної пошти – раптом вас попросять увійти знову. «Недійсні облікові дані». Ваш живіт опускається. Ви спробуєте OneDrive – та сама проблема. Ви заблоковані. Жахлива правда вражає вас: це був не справжній OneDrive. Це була складна фейкова сторінка, призначена для викрадення облікових даних. Ви щойно надали зловмисникам свою робочу електронну адресу, пароль і доступ до всієї системи Microsoft 365 вашої компанії. Вони негайно увійшли у ваш справжній обліковий запис і змінили ваш пароль, заблокувавши вас.

7. Екстрена допомога: виклик IT Security

   Ви негайно телефонуєте на гарячу лінію IT Security. Після кількох дзвінків ви залишаєте термінове повідомлення голосової пошти з поясненням, що вас піддали фішингу, і ви блокуєтеся. Ваші руки тремтять, поки ви чекаєте. Зловмисники мають доступ до конфіденційної інформації клієнтів, фінансових даних і внутрішніх документів. Через дві хвилини ваш стаціонарний телефон дзвонить - IT Security передзвонює.

8. Реакція служби безпеки

   Команда IT Security передзвонить, щоб допомогти заблокувати ваш обліковий запис і оцінити збитки. Вони повинні діяти швидко, щоб мінімізувати порушення.

9. Оцінка збитків: шість критичних хвилин

   Протягом двох хвилин охорона примусово скинула пароль і вигнала зловмисників. Але шкоди завдано. Зламані дані включають підписані контракти з ціноутворенням, фінансові прогнози, ідентифікаційну інформацію клієнта, запатентовану технічну документацію та приватні переговори. Ці дані можуть бути продані конкурентам, оприлюднені або використані для подальших атак.

10. Повідомлення про фішинговий електронний лист

    Подолавши кризу, повідомте про шкідливу електронну пошту. Функція «Повідомити про фішинг» допомагає безпеці аналізувати заголовки, блокувати домени відправників, ідентифікувати інших цільових співробітників і ділитися інформацією про загрози.