¿Qué hacer después de que un compañero de trabajo haya sido secuestrado?

Navega tus respuestas
1

Uno de nuestros compañeros de trabajo siguió un enlace de phishing e ingresó sus credenciales de cuenta de Google for Business. Hemos restablecido su contraseña, ¿hay algo más que necesitamos hacer? (También utilizamos esto como un recordatorio para que todos habiliten la autenticación de dos factores).

El correo también se envió en su nombre a la lista de correo de nuestro personal (en BCC), por lo que supongo que también se envió a otros contactos en la libreta de direcciones. Los encabezados indican que se envió a través de Gmail, no desde un servidor SMTP externo (tenemos registros SPF que solo permiten Gmail). ¿Podemos ver quién más recibió este correo y es útil enviarles una advertencia?

    
pregunta Jan Fabry 03.07.2014 - 11:15
fuente

4 respuestas

3

Bloquee el enlace de phishing en el firewall de la empresa. Si los compañeros de trabajo solo leyeran sus correos en la oficina, esto sería suficiente. Pero esto parece muy poco probable. Más pasos si los compañeros de trabajo usan computadoras portátiles de la empresa, también bloquee el enlace en el firewall de la computadora portátil. Por último, si acceden a él desde cualquier otro dispositivo personal, asegúrese de que conozcan un correo electrónico de suplantación de identidad en el que no deben hacer clic. Adjunte una captura de pantalla al correo que envió, sobre cómo se ve el correo. Además, no hay mucho que puedas hacer aparte de escanear las computadoras donde se ha abierto el enlace. Malware podría haber sido instalado a través de una descarga drive-by. Donde se instalan aplicaciones maliciosas a través de vulnerabilidades del navegador. ¡Espero que esto ayude! Buena suerte

    
respondido por el 4oxer 03.07.2014 - 11:31
fuente
1

Para sucesos futuros (y puede estar seguro de que habrá más, la pregunta es si sus empleados caerán o no por eso) puede considerar comprar algún mecanismo de defensa que evite la pérdida de las credenciales en primer lugar. Por ejemplo, Apex de Trusteer o ProofPoint

    
respondido por el aviv 03.07.2014 - 15:05
fuente
1
  1. Cambie la contraseña de correo electrónico de los usuarios, (también sugiera si esta contraseña se ha utilizado en otro lugar (ya sea en su empresa o fuera de ella en otros sitios web) por parte del colega para cambiarla también a una nueva contraseña única)
  2. Compruebe si hay intentos de inicio de sesión desde ubicaciones desconocidas
  3. Si dichos correos electrónicos de inicio de sesión existen, los registros de verificación de los correos electrónicos enviados también verifican qué hay en el buzón y evalúan qué pudo haber visto la persona mala.
  4. Consulte a otros colegas y vea si han recibido dicho correo electrónico.
  5. Envíe un aviso a todo el personal y asegúrese de que estén al tanto de este correo electrónico.
  6. El colega de preguntas que recibió este correo electrónico y pregunta si ingresaron su correo electrónico en algún sitio web nuevo.
  7. Puede crear una lista de otros sitios web que hayan sido violados recientemente y sus datos de clientes hayan sido filtrados y preguntarle a su colega si eran miembros de alguno de ellos con el mismo correo electrónico.
  8. Educar a todo el personal sobre el phising y qué buscar en los correos electrónicos.
  9. No estoy seguro de tu sistema de correo electrónico actual, pero puedes instalar un sistema de correo no deseado, RBL, phising.
respondido por el Callum 03.07.2014 - 16:45
fuente
0

Lo que creo que debes hacer como planes a largo plazo

  • Implementar el mecanismo adecuado de respuesta a incidentes
  • Dar sesiones de concientización sobre seguridad de la información para los empleados. (Por ejemplo, el Día de la Seguridad de TI)
  • Mantener planes de contingencia para tales eventos.
respondido por el Kasun 03.07.2014 - 20:21
fuente

Lea otras preguntas en las etiquetas

En la autenticación en dos pasos, ¿debo revisar el paso 1 antes de continuar con el paso 2 o al final? Identificar impresoras HP con NMAP y luego usar los resultados en Python / Perl