El correo electrónico de phishing respondió a un correo electrónico interno. ¿Qué se compromete?

4

Hemos recibido un correo electrónico de suplantación de identidad (phishing) en el que intentábamos obtener dinero de nosotros. Este correo electrónico provenía de una cuenta que se escribía muy cerca de nuestro correo electrónico de trabajo, pero no del mismo modo.

Busqué el dominio y encontré que aparentemente se configuró ayer.

Mi verdadera preocupación es que el correo electrónico fue RE: < SUBJECT > donde el tema y los destinatarios formaban parte de una verdadera cadena de correo electrónico interno. El correo electrónico no era realmente una respuesta, pero el asunto era correcto y era de un correo electrónico enviado horas antes.

¿Qué tipo de compromiso en mi sistema (G-suite) permitiría a alguien leer los temas pero no tener acceso completo al correo electrónico?

¿Debo preocuparme por los orificios adicionales que no sean los ajustes completos de la contraseña?

    
pregunta JimmyJazzx 21.12.2016 - 16:36
fuente

2 respuestas

4

¿Ya has considerado que podría ser solo una coincidencia? Si el tema era algo común, tal vez ni siquiera fuera un compromiso, solo una suposición afortunada. Si no fue algo tan obvio, ¿qué tal estos?

En orden decreciente de probabilidad:

  • Uno de sus empleados está haciendo phishing

  • ¿Tiene una política BYOD? Tal vez uno de sus teléfonos ha sido comprometido. O sus computadoras portátiles para el caso.

  • Un sistema comprometido que pertenece a cualquier usuario en el dominio (¿puede haber un registro de teclas?)

Honestamente, solo espera. Si has restablecido todas las contraseñas, eso debería bloquear al atacante, al menos temporalmente. A continuación, limpie todas sus computadoras y elimine cualquier cosa sospechosa. Si esto falla y recibe más correo no deseado, comience a restablecer las contraseñas por lotes y continúe reduciendo sus sospechosos (doloroso, no recomiendo).

    
respondido por el thel3l 21.12.2016 - 16:58
fuente
3

Tengo dos hipótesis, pero eventualmente creo que esta pregunta llevará a un juego de adivinanzas, a menos que tengas datos más relevantes.

1) Nadie tuvo acceso a su correo electrónico, sino a su estación de trabajo (o la de su compañero de trabajo). Este es el vector más común de intrusión en una infraestructura.

2) Tal vez el phisher es solo uno de tus compañeros de trabajo que intenta obtener un ingreso extra, y por eso, es por eso que tiene el contenido real del correo electrónico y sabe quiénes fueron los destinatarios de esa cadena de correo electrónico.

    
respondido por el yzT 21.12.2016 - 17:00
fuente

Lea otras preguntas en las etiquetas