L'e-mail di phishing ha risposto all'e-mail interna. Cosa è compromesso?

4

Abbiamo ricevuto un'e-mail di phishing che cercava di ottenere denaro da noi, questa e-mail proveniva da un account che è stato scritto con precisione nella nostra email di lavoro, ma non esattamente lo stesso.

Ho cercato il dominio e ho scoperto che apparentemente era stato configurato ieri.

La mia vera preoccupazione è che l'e-mail era RE: < SUBJECT > dove l'oggetto e i destinatari facevano tutti parte di una vera e propria catena di posta elettronica interna. L'email non è stata davvero una risposta, ma il soggetto era corretto e proveniva da un'email inviata ore prima.

Quale tipo di compromesso nel mio sistema (G-suite) consentirebbe a qualcuno di essere in grado di leggere i soggetti ma non di avere pieno accesso all'e-mail stessa?

Altri reimpostazioni di password complete dovrei preoccuparmi dei fori aggiuntivi?

    
posta JimmyJazzx 21.12.2016 - 16:36
fonte

2 risposte

4

Hai già pensato che potrebbe essere solo una coincidenza? Se il soggetto fosse qualcosa di comune, potrebbe non essere nemmeno un compromesso, solo una supposizione fortunata. Se non fosse qualcosa di ovvio, che ne dici di questi?

In ordine decrescente di probabilità:

  • Uno dei tuoi dipendenti sta facendo il phishing

  • Hai una politica BYOD? Forse uno dei loro telefoni è stato compromesso. O anche i loro laptop.

  • Un sistema compromesso che appartiene a qualsiasi utente sul dominio (keylogged forse?)

Onestamente, aspetta. Se hai ripristinato tutte le password, questo dovrebbe bloccare l'attaccante, almeno temporaneamente. Quindi vai a sfregare tutti i loro computer e rimuovere qualsiasi cosa sospetta. Se fallisce e ricevi più spam, inizia a reimpostare le password in batch e continua a restringere i sospetti (doloroso, non è consigliabile).

    
risposta data 21.12.2016 - 16:58
fonte
3

Ho due ipotesi, ma alla fine penso che questa domanda porterà a un gioco di ipotesi, a meno che tu non abbia più dati rilevanti.

1) Nessuno ha avuto accesso alla tua email, ma alla tua workstation (o al tuo collega). Questo è il vettore più comune di intrusione in un'infrastruttura.

2) Forse il phisher è solo uno dei tuoi colleghi che cerca di ottenere un reddito extra, e quindi, ecco perché ha il vero contenuto dell'e-mail e sa chi erano i destinatari di quella catena di e-mail.

    
risposta data 21.12.2016 - 17:00
fonte

Leggi altre domande sui tag