ראשית כל, אם SPF ו- DKIM אכן מראים כי הדוא"ל אכן נשלח מ- gmail (שימו לב כי ל- gmail יש רק SOFTFAIL spf), ברצונכם לחסום כתובת זו באופן מוחלט. או ליתר דיוק, יש לשלוח דוא"ל מאותו השולח באופן אוטומטי כרטיס לאבטחת ה- IT הפנימית שלך, מכיוון שהבחור הבא אולי לא יזהה שהוא הונאה.
נניח שהמנכ"ל הוא Alice CeoSE alice.ceose @ stackexchange.com והשכיר החדש הוא Hayden Sales hayden.sales@stackexchange.com, כשהמזויף מלהיות alice.ceose@gmail.com
משמעות הדבר היא alice.ceose@gmail.com נוצר ו נשלט על ידי מישהו שמטרתו היחידה לבצע הונאת מנכ"ל בחברה שלך.
זה יהיה טריוויאלי עבורם ליצור כתובת gmail חדשה לאחר שתחסום אותה, אבל זה יהיה מטופש לא . תן להם לעשות את המאמצים הנוספים לפתיחת חשבון חדש (בנוסף, הם לא יודעים אם זיהית אותו או לא. כמו כן, בדוק מי עוד קיבל דואר מחשבון זה). ייתכן שהבחור הבא לא יזהה שהוא הונאה ולא מצליח לו.
בנוסף, הייתי מנצל את ההתקפה הזו כדי לשלוח תזכורת כללית לפשרות של דוא"ל עסקי / מנכ"ל, מה זה, מה זה אנשים צפוי לעשות (לא משנה "המנכ"ל" כביכול יבקש מהם לא להגיד כלום!), ושה החברה שלך מותקפת כרגע (ברור, ייתכן שתזדקק לאישור מגבוהים, אלא אם כן זהו תרגיל, זהו מקרה ברור של למה כמה דברים חשובים).
הייתי מנסה להוסיף כללים כדי לתפוס אותו גם בתוכן, מכיוון שהוא מדד זמני. אולי הטקסט "מנכ"ל", אם היא לא משתמשת בביטוי המדויק הזה?
אתה מזכיר שתפספס מיילים אישיים. עם זאת, אם זהו חשבון שנוצר כדי להתחזות למנכ"ל שלך, אתה אף פעם לא רוצה שמשהו יגיע לעובדים שלך (מלבד צוות האבטחה).
אם הבעיה שלך תאבד אימיילים כאשר המנכ"ל אכן ישלח אימיילים מחשבונה האישי, הייתי לוקח את ההפסד הזה. עובד לעולם לא יצטרך לשלוח הודעות דוא"ל הקשורות לעבודה מחשבון אישי. (*) יתכן וזה לא מעשי כלל מבחינה חברתית, אך בהחלט שווה למנהלים ברמת C. פירוש הדבר שעליהם ליצור קשר עם החברה שלהם רק באמצעות הדוא"ל המסופק על ידי החברה. הדבר ידרוש הזמנה מלמעלה (כגון המנכ"ל) ועליו לכלול את המנכ"לית עצמה.
הייתי ממליץ ליישם אותה כך שכל דוא"ל שמגיע עם תנאי כזה באופן אוטומטי יוצר כרטיס לאירוע ביטחוני:
ב- XX YYYY ZZZZ, דוא"ל מאת אליס סיס alice.ceose@gmail.com היה נשלח אל poor.underling@stackexchange.com. זה מתיימר להגיע מהמנכ"ל, אך אינו משתמש בדוא"ל החברה שלה שהוא היחיד שמותר להשתמש בו לתקשורת פנימית, לפי תזכיר המנכ"ל מיום 22.8.2020, לאחר שהיו ניסיונות להתחזות למנהלינו בתאריך 8 /. 19/2020 ולהונות את החברה על מיליונים רבים.
והודיעו לחברה המתחזה לכתובת הדוא"ל של החברה (כך שאם היא אכן נשלחה על ידי אותו אדם, לא תוכל לטעון שאתה סיננו בשקט את הדוא"ל, ובהיותם אוטומטיים, אף אחד לא צריך להתקשר אליו על מעשיהם הפסולים). מסיבות מעשיות, אני ממליץ לכלול גם רשימת היתרים לכל משתמש (שבה תוכל הכתובת האישית האמיתית של אותם בכירים ששוכחים ברציפות את הכלל הזה).
(*) חריגים ברורים יהיו לפני שהוקצו. כתובת דוא"ל, או עם אמצעי עבודה מהבית מבית COVID, המתקשרים עם דלפק העזרה אם הם חוסמים את חשבונם (עם הסכנה הברורה שאסור לשירות העזרה ליפול על ניסיונות התחזות לעובד). עורכי הדין שלך ככל הנראה ימסרו לך אלף ואחת סיבות לא לשתף את פרטי החברה עם חשבונות שאינם בשליטתך.
באשר לשאלה השנייה, שכר העבודה החדש יכול היה לדלוף:
- דפוסי שמות דוא"ל צפויים
- הרשתות החברתיות לעובדים, כגון LinkedIn ( כפי שצוין על ידי null)
- פרסומים של החברה בדף האינטרנט שלהם , מדיה חברתית וכו '("הצוות שלנו", "אנא קבלו את שכרנו החדש היידן" ...)
- עלונים, כנסים וכו'
- חשבון פשרה של עובד ( מדליף את רשימת הכתובות של האנשים שאליהם שלחו דוא"ל ... או של כל החברה)