ככל הנראה, רשומת ה- MX שלך סובלת מ התקפת קציר בספריות (DHA). ישנן המון דרכים לעשות זאת, אלא אם כן אתה מאוד מתמצא בזרימת יומני הדואר שלך, קשה לזהות (לפי עיצוב).

הצורה הפשוטה ביותר של DHA כוללת SMTP פקודות vrfy ו- expn . אתה יכול לחסום את אלה לחלוטין. התקפות מתוחכמות יותר יכולות לכלול חיבור דוא"ל ואז לעולם לא להשלים אותן (ה נגרר. סימון סוף פקודה data , או אפילו רק rset או צא או שחרר את החיבור לפני הוצאת פקודה data ).

אם אתה משתמש ב- o365 באופן בלעדי, קציר מה- MX הוא פחות סביר לדאגה. (אני מניח שמיקרוסופט מספיק חכמה כדי לחסום את מרבית ניסיונות ה- DHA, אם כי ייתכן שהם לא מספקים מספיק נתונים פליליים כדי לקבוע אם ניסו DHA או עד כמה היא הצליחה לפני שהיא נותקה). אולי תוקפים מצאו מקור אחר לנתונים אלה, כמו רשימה של המשתמשים שלך או מערכת משתמשים נפוצה או חשבון שתוקפים יכולים לגשת אליו לקרוא דואר או לפנקס הכתובות.

אם שמות המשתמש שלך צפויים, למשל. Firstname.Lastname@company.tld, תוקף יכול לקבוע משתמשים על ידי גירוד רישום עובדי החברה או אתר כמו LinkedIn. מקור כתובות נוסף הוא ארכיוני רשימת תפוצה ציבורית.

דבר אחד שתוכל לעשות הוא להקים מלכודת דואר זבל (המכונה גם כרית דבש). פשוט ערוך חשבון חדש למשתמש בדיוני ולעולם לא תגיד לאף אחד. המתן זמן מה לראות אם זה מתחיל לקבל דואר ותדע שיש DHA. אם אינך מקבל עקיצות, הרי שהמלכודת שלך לא הייתה רשומה במקום (ים) שתוקפים. נסה להמציא מה אלה עשויים ולסדר כתובות ייעודיות חדשות (או אם אתה צריך לשלם לכל חשבון, הוסף טכניקות זריעה חדשות לחשבון המלכודת היחידה אחת אחת, עם מספר שבועות בין כל הוספה כדי שתוכל לזהות זה).

דרך קלה תהיה לפקח על לינקדאין באמצעות סקריפט כדי לחפש עובדים חדשים ולמקד אותם על פי תיאור המשרה שלהם.

תוך זמן קצר גיליתי שהיידן הועסק לפני חודשיים כ "מנהל תפעול מכירות".

בהתאם למנוי שלך ב- Office 365 יש מספר תכונות להילחם בפישינג: הגנה נגד דיוג במיקרוסופט 365

מהן הדרכים שחלק מהרמאים האלה מקבלים את הנתונים האלה כל כך בקלות, כך שהם יכולים לשלוח דוא"ל כזה?

קשה לדעת, אבל אני מניח שזה שלך אנשי מכירות אופס נרשמים כמנויים לאתרים שונים (על מנת לבצע את עבודתם), שעשויים לדלוף כתובות או להיות בנויים באופן מוחלט לאיסוף נתונים.

בפעם הבאה שתעסיק מישהו בצוות זה, אמור להם לא להירשם לכל דבר לזמן מה ולראות מה קורה. או פשוט הגדר כתובת דוא"ל ולאחר מכן השתמש בה כדי להירשם לאותם אתרים שאנשי מכירות משתמשים בהם, ושוב לראות מה קורה.

ראשית כל, אם SPF ו- DKIM אכן מראים כי הדוא"ל אכן נשלח מ- gmail (שימו לב כי ל- gmail יש רק SOFTFAIL spf), ברצונכם לחסום כתובת זו באופן מוחלט. או ליתר דיוק, יש לשלוח דוא"ל מאותו השולח באופן אוטומטי כרטיס לאבטחת ה- IT הפנימית שלך, מכיוון שהבחור הבא אולי לא יזהה שהוא הונאה.

נניח שהמנכ"ל הוא Alice CeoSE alice.ceose @ stackexchange.com והשכיר החדש הוא Hayden Sales hayden.sales@stackexchange.com, כשהמזויף מלהיות alice.ceose@gmail.com

משמעות הדבר היא alice.ceose@gmail.com נוצר ו נשלט על ידי מישהו שמטרתו היחידה לבצע הונאת מנכ"ל בחברה שלך.

זה יהיה טריוויאלי עבורם ליצור כתובת gmail חדשה לאחר שתחסום אותה, אבל זה יהיה מטופש לא . תן להם לעשות את המאמצים הנוספים לפתיחת חשבון חדש (בנוסף, הם לא יודעים אם זיהית אותו או לא. כמו כן, בדוק מי עוד קיבל דואר מחשבון זה). ייתכן שהבחור הבא לא יזהה שהוא הונאה ולא מצליח לו.

בנוסף, הייתי מנצל את ההתקפה הזו כדי לשלוח תזכורת כללית לפשרות של דוא"ל עסקי / מנכ"ל, מה זה, מה זה אנשים צפוי לעשות (לא משנה "המנכ"ל" כביכול יבקש מהם לא להגיד כלום!), ושה החברה שלך מותקפת כרגע (ברור, ייתכן שתזדקק לאישור מגבוהים, אלא אם כן זהו תרגיל, זהו מקרה ברור של למה כמה דברים חשובים).

הייתי מנסה להוסיף כללים כדי לתפוס אותו גם בתוכן, מכיוון שהוא מדד זמני. אולי הטקסט "מנכ"ל", אם היא לא משתמשת בביטוי המדויק הזה?

אתה מזכיר שתפספס מיילים אישיים. עם זאת, אם זהו חשבון שנוצר כדי להתחזות למנכ"ל שלך, אתה אף פעם לא רוצה שמשהו יגיע לעובדים שלך (מלבד צוות האבטחה).

אם הבעיה שלך תאבד אימיילים כאשר המנכ"ל אכן ישלח אימיילים מחשבונה האישי, הייתי לוקח את ההפסד הזה. עובד לעולם לא יצטרך לשלוח הודעות דוא"ל הקשורות לעבודה מחשבון אישי. (*) יתכן וזה לא מעשי כלל מבחינה חברתית, אך בהחלט שווה למנהלים ברמת C. פירוש הדבר שעליהם ליצור קשר עם החברה שלהם רק באמצעות הדוא"ל המסופק על ידי החברה. הדבר ידרוש הזמנה מלמעלה (כגון המנכ"ל) ועליו לכלול את המנכ"לית עצמה.

הייתי ממליץ ליישם אותה כך שכל דוא"ל שמגיע עם תנאי כזה באופן אוטומטי יוצר כרטיס לאירוע ביטחוני:

ב- XX YYYY ZZZZ, דוא"ל מאת אליס סיס alice.ceose@gmail.com היה נשלח אל poor.underling@stackexchange.com. זה מתיימר להגיע מהמנכ"ל, אך אינו משתמש בדוא"ל החברה שלה שהוא היחיד שמותר להשתמש בו לתקשורת פנימית, לפי תזכיר המנכ"ל מיום 22.8.2020, לאחר שהיו ניסיונות להתחזות למנהלינו בתאריך 8 /. 19/2020 ולהונות את החברה על מיליונים רבים.

והודיעו לחברה המתחזה לכתובת הדוא"ל של החברה (כך שאם היא אכן נשלחה על ידי אותו אדם, לא תוכל לטעון שאתה סיננו בשקט את הדוא"ל, ובהיותם אוטומטיים, אף אחד לא צריך להתקשר אליו על מעשיהם הפסולים). מסיבות מעשיות, אני ממליץ לכלול גם רשימת היתרים לכל משתמש (שבה תוכל הכתובת האישית האמיתית של אותם בכירים ששוכחים ברציפות את הכלל הזה).

(*) חריגים ברורים יהיו לפני שהוקצו. כתובת דוא"ל, או עם אמצעי עבודה מהבית מבית COVID, המתקשרים עם דלפק העזרה אם הם חוסמים את חשבונם (עם הסכנה הברורה שאסור לשירות העזרה ליפול על ניסיונות התחזות לעובד). עורכי הדין שלך ככל הנראה ימסרו לך אלף ואחת סיבות לא לשתף את פרטי החברה עם חשבונות שאינם בשליטתך.

באשר לשאלה השנייה, שכר העבודה החדש יכול היה לדלוף:

• דפוסי שמות דוא"ל צפויים
• הרשתות החברתיות לעובדים, כגון LinkedIn ( כפי שצוין על ידי null)
• פרסומים של החברה בדף האינטרנט שלהם , מדיה חברתית וכו '("הצוות שלנו", "אנא קבלו את שכרנו החדש היידן" ...)
• עלונים, כנסים וכו'
• חשבון פשרה של עובד ( מדליף את רשימת הכתובות של האנשים שאליהם שלחו דוא"ל ... או של כל החברה)

אני מניח שהחברה שלך נקייה מספיק מכל וירוסים (יכול להיות שאני טועה). אם העובד שלך מתקשר בדוא"ל עם אנשים מחוץ לחברה, סביר להניח שהוא שלח הודעות לאנשים שקוראים את הדואר שלהם במכונה נגועה. תוכניות זדוניות במחשבים של אנשים כאלה עשויות לאסוף פנקסי כתובות לבניית מאגרי דוא"ל לשליחת דואר זבל ולעשות כל מיני דברים מגעילים.

עובדים עם הרבה קישורים לעולם החיצון ולכן חשופים יותר.

אני לא מכיר את Office 365 היטב, אז אני לא יכול להגיד לך איך לעצור את זה. עם זאת, זה יכול להיות ממש טוב שהעובדים שלך מקבלים כמה הודעות דוא"ל שברור שהן מתחזקות. זה עוזר להם להישאר ערניים ולהחיל בדיקות שכל ישר על כל הודעה לפני שהם פועלים. יום אחד, החברה שלך עשויה להיות נתונה לניסיון פישינג משוכלל ללא דרך קלה להבחין בין טוב אוטומטית למיילים גרועים. אם זה קורה, המחסום הטוב ביותר יהיה העובד שלא ילחץ על הקישור ולא יענה.

לבסוף, אני יכול להוסיף כמה "נתונים אישיים" בנוגע למיילים חדשים ורעננים: במשך למעלה מעשור, השתמשתי בכ -1000 כתובות דוא"ל אישיות שרשמתי כל אחת לשירות אינטרנט ייחודי. על הרוב המכריע של אלה, קיבלתי רק דואר לגיטימי. על האחרים יכולתי לזהות שני מקרים:

• במקרה הראשון, הדוא"ל שימש ליצירת חשבון לאתר לגיטימי המנוהל על ידי חברה גדולה דיה להניח שהטיפול בנתונים האישיים שלך הוא כמעט אוטומטי. בכל המקרים, כשהתחלתי לקבל ספאם, חיפוש בגוגל הצביע על כתבות חדשותיות שהאתר נפרץ שבועות או חודשים לפני תחילת הספאם. ברוב המקרים, החברה גם הודיעה לי על דליפת הנתונים לאחר שגילו את הבעיה, אך במקרה אחד או שניים הם לא גילו ...

• במקרה השני, ובדומה לאמור לעיל, יצרתי את הדוא"ל ליצירת חשבון או לבקש שירות באתר לגיטימי. עם זאת, סביר להניח כי הדוא"ל שלי אולי נשמר במחשב האישי של מישהו (אתר קטן, שירות שעבורו אתה יכול לצפות לקבל דוא"ל אישי מאדם וכו '). בפרט, יש לי כתובות רבות שהודלפו כשהשתמשו בהן כדי להירשם לאירוע חד פעמי כמו מופע. במקרה כזה, אני מניח שהמארגנים פשוט יצרו את האתר לאירוע עם טופס כדי שיוכלו לאסוף את רשימת המשתתפים. לאחר מכן הם שולחים הודעות לגיטימיות ידנית, אך למרבה הצער ממחשב עם תוכנה זדונית שיכולה לאסוף את הנתונים שלי. כאן, מעולם, לא מצאתי מאמרים חדשותיים על הדליפה, ואף לא התבשרתי על ידי המארגנים על פריצה כלשהי.