Sono uno sviluppatore di software per una società di sviluppo software responsabile di più prodotti e di solito gestisco le nostre esigenze IT poiché siamo una piccola azienda. Oggi abbiamo avuto un incidente sospetto che sembra molto simile allo spear phishing e volevo solo sapere quali azioni dovremmo intraprendere.
Oggi qualcuno ha chiamato il nostro ufficio e ha affermato di essere della Stanford University, affermando che volevano invitare la nostra azienda a un seminario online a beneficio degli studenti. Hanno menzionato tre membri dello staff per nome e titolo di lavoro (incluso me stesso) e hanno chiesto di confermare il nostro indirizzo postale fisico. Quando abbiamo chiesto se potevano inviarci qualcosa tramite posta, ho risposto di sì e ho confermato il nostro indirizzo quando mi è stato letto.
Subito dopo ho ricevuto un'e-mail senza oggetto da un indirizzo Gmail attraverso il mio indirizzo di lavoro che chiedeva il mio "numero diretto" e nient'altro. E 'stato anche scritto in sans comico se questo è rilevante (lo abbiamo trovato piuttosto divertente).
Poi ha richiamato e ha iniziato a chiedere a uno dei membri del nostro staff indirizzi email degli altri due membri dello staff che ha menzionato per nome. Quel membro del personale mi ha chiesto tramite Slack gli indirizzi. A questo punto avevo visto l'email e ho pensato che si trattasse di un tentativo di phishing, quindi gli ho detto di riattaccare immediatamente. Sono passati circa 15 minuti e da allora non ha richiamato.
Ho sbagliato nella mia valutazione che si è trattato di un tentativo di phishing? Ci sono dei passi da fare per prevenire una violazione, oltre a chiarire a tutti i membri del personale di non condividere le informazioni che potrebbero essere utilizzate per accedere agli account di un membro del personale? Tutti i nostri documenti e software sono internamente ospitati, stiamo attualmente preparando più brevetti e sarebbe potenzialmente catastrofico se dicessimo ai nostri concorrenti di avere una copia dei nostri documenti tecnici di progettazione.