Presumibilmente, il tuo record MX soffre di un attacco di raccolta di directory (DHA). Ci sono molti modi per farlo e, a meno che tu non sia molto esperto nel riversare i tuoi log di posta, la maggior parte di essi sono (in base alla progettazione) difficili da rilevare.

La forma più semplice di DHA coinvolge SMTP vrfy e expn . Puoi bloccarli completamente. Attacchi più sofisticati possono comportare la composizione di messaggi di posta elettronica e quindi non completarli mai (il . finale che segna la fine di un comando data , o anche solo rset o quit o interrompi la connessione prima di emettere un comando data ).

Se utilizzi esclusivamente o365, la raccolta da MX è meno probabile che un problema (Presumo che Microsoft sia abbastanza esperta da bloccare la maggior parte dei tentativi di DHA, anche se potrebbero non fornire dati forensi sufficienti per determinare se un DHA è stato tentato o quanto ha avuto successo prima che fosse interrotto). Forse gli aggressori hanno trovato un'altra fonte di questi dati, come un elenco dei tuoi utenti o un sistema utente o un account compromesso a cui gli aggressori possono accedere per leggere la posta o la rubrica.

Se i tuoi nomi utente sono prevedibili, ad es. Firstname.Lastname@company.tld, un utente malintenzionato può determinare gli utenti raschiando l'elenco di un dipendente dell'azienda o un sito come LinkedIn. Un'altra fonte di indirizzi sono gli archivi delle mailing list pubbliche.

Una cosa che puoi fare è impostare una trappola antispam (nota anche come honeypot). Crea un nuovo account per un utente fittizio e non dirlo mai a nessuno. Aspetta un po 'per vedere se inizia a ricevere posta e saprai che c'era un DHA. Se non ricevi alcun morso, la tua trappola non è stata elencata nei luoghi raccolti dagli aggressori. Prova a inventare quali potrebbero essere e crea nuovi indirizzi dedicati (o, se devi pagare per account, aggiungi nuove tecniche di seeding al singolo account trap una per una, con poche settimane tra ogni aggiunta in modo da poter identificare it).

Un modo semplice sarebbe monitorare LinkedIn utilizzando uno script per cercare nuove assunzioni e indirizzarle in base alla descrizione del loro lavoro.

In pochissimo tempo ho scoperto che Hayden è stato assunto 2 mesi fa come "Sales Operation Manager".

A seconda dell'abbonamento a Office 365 sono disponibili più funzionalità per combattere il phishing: Protezione anti-phishing in Microsoft 365

Quali sono i modi in cui alcuni di questi truffatori ottengono questi dati così facilmente in modo da poter inviare e-mail come questa?

È difficile da dire, ma la mia ipotesi è che il tuo Gli addetti alle vendite si iscrivono a vari siti web (per svolgere il proprio lavoro), che possono far trapelare indirizzi o essere costruiti per raccogliere dati.

La prossima volta che assumi qualcuno in quel team, digli di NON farlo iscriviti a qualsiasi cosa per un po 'e guarda cosa succede. Oppure imposta un indirizzo email e poi usalo per iscriverti agli stessi siti web utilizzati dalle persone di Sales Ops e vedere di nuovo cosa succede.

Prima di tutto, se l'SPF e il DKIM mostrano che l'email è stata effettivamente inviata da gmail (nota che gmail ha solo un SPF SOFTFAIL), vuoi bloccare completamente questo indirizzo. O meglio ancora, fai in modo che qualsiasi email da quel mittente crei automaticamente un ticket per la tua sicurezza IT interna, poiché il prossimo ragazzo potrebbe non rilevare che è fraudolento.

Supponiamo che il CEO sia Alice CeoSE alice.ceose @ stackexchange.com e il nuovo assunto è Hayden Sales hayden.sales@stackexchange.com, con il falso di essere alice.ceose@gmail.com

Ciò significa che alice.ceose@gmail.com è stato creato e è controllato da qualcuno con l'unico scopo di eseguire una frode del CEO sulla tua azienda.

Sarà banale per loro creare un nuovo indirizzo Gmail dopo averlo bloccato, ma sarebbe sciocco non farlo . Fagli fare uno sforzo in più per aprire un nuovo account (inoltre, non sanno se l'hai rilevato o meno. Inoltre, controlla chi altro ha ricevuto la posta da questo account). Il prossimo potrebbe non rilevare che è fraudolento e fallire.

Inoltre, approfitterò di questo attacco per inviare un promemoria generale di compromissione dell'email aziendale / frode del CEO, cos'è, cos'è la gente previsto (a prescindere dal presunto "CEO" che chiede loro di non dire nulla!), e che la tua azienda è stata attaccata in questo momento (ovviamente, potresti aver bisogno dell'approvazione dei superiori ma, a meno che questo è un esercizio, questo è un chiaro esempio del perché alcune cose sono importanti).

Proverei ad aggiungere regole per catturarlo anche sul contenuto, poiché è un misura temporale. Forse il testo "Amministratore delegato", se non usa quella frase esatta?

Hai detto che ti mancheranno le email personali. Tuttavia, se questo è un account creato per impersonare il tuo CEO, non vuoi mai che nulla raggiunga i tuoi dipendenti (a parte il team di sicurezza).

Se il tuo problema è che potresti perdere le e-mail quando l'amministratore delegato ha inviato e-mail dal suo account personale, mi prenderei quella perdita. Un dipendente NON DOVREBBE MAI aver bisogno di inviare e-mail relative al lavoro da un account personale. (*) Potrebbe non essere pratico a livello aziendale, ma sicuramente vale la pena per i dirigenti di livello C. Ciò significa che devono contattare la loro azienda solo con l'email fornita dalla società, ciò richiederà un ordine dall'alto (come il CEO) e dovrà includere il CEO stesso.

Suggerirei di implementarlo in modo tale che qualsiasi e-mail in arrivo con tale condizione automaticamente crei un ticket di incidente di sicurezza:

Il XX YYYY ZZZZ, un'e-mail da Alice Ceose alice.ceose@gmail.com è stata inviato a poor.underling@stackexchange.com. Questo pretende di provenire dal CEO, ma non sta usando la sua email aziendale che è l'unica autorizzata ad essere utilizzata per la comunicazione interna, secondo la nota del CEO datata 22/08/2020, dopo che ci sono stati tentativi di impersonare i nostri dirigenti l'8 / 19/2020 e frodare la società di milioni di persone.

E avvisare la persona impersonata all'indirizzo email dell'azienda (in modo che se è stato effettivamente inviato da quella persona, non puoi affermare che tu ha filtrato silenziosamente l'email e, essendo automatico, nessuna persona ha bisogno di intensificarsi chiamandoli per i loro errori). Per ragioni pratiche, consiglierei anche di includere una whitelist per utente (dove potresti indicare l'indirizzo personale effettivo di quei dirigenti che continuamente dimenticano questa regola).

(*) Le eccezioni ovvie sarebbero prima di essere assegnate un indirizzo e-mail, o con misure COVID lavoro da casa, che comunica con l'helpdesk se blocca il proprio account (con l'ovvio pericolo che l'helpdesk non debba cadere in tentativi di impersonificazione a un dipendente). I tuoi avvocati probabilmente ti daranno mille motivi per non condividere le informazioni aziendali con account fuori dal tuo controllo.

Per quanto riguarda la seconda domanda, il nuovo assunto potrebbe essere trapelato:

• Modelli di denominazione delle e-mail prevedibili
• I social network dei dipendenti, come LinkedIn ( come indicato da null)
• Pubblicazioni dell'azienda sulla loro pagina web , social media, ecc. ("il nostro team", "benvenuto al nostro nuovo assunto Hayden" ...)
• Newsletter, conferenze, ecc.
• Account compromesso di un dipendente ( trapelando l'elenco degli indirizzi delle persone a cui hanno inviato email ... o dell'intera azienda)

Presumo che la tua azienda sia sufficientemente priva di virus (potrei sbagliarmi). Se il tuo dipendente comunica tramite e-mail con persone esterne all'azienda, è probabile che abbia inviato messaggi a persone che leggono la loro posta su una macchina infetta. I programmi dannosi sui computer di tali persone possono raccogliere rubriche per creare database di posta elettronica per inviare SPAM e fare ogni sorta di cose sgradevoli.

I dipendenti con molti collegamenti al mondo esterno sono quindi più esposti.

Non conosco bene Office 365, quindi non posso dirti come fermarlo. Tuttavia, potrebbe effettivamente essere positivo che i tuoi dipendenti ricevano alcune e-mail che sono ovviamente phishing. Questo li aiuta a rimanere vigili e ad applicare controlli di buon senso su ogni messaggio prima di agire. Un giorno, la tua azienda potrebbe essere soggetta a un elaborato tentativo di phishing senza un modo semplice per distinguere automaticamente le email buone da quelle cattive. In tal caso, la barriera migliore sarebbe che il dipendente non faccia clic sul collegamento né risponda.

Infine, posso aggiungere alcuni "dati personali" relativi a nuove e-mail fresche: per oltre un decennio, Ho utilizzato circa 1000 indirizzi e-mail personali, registrati ciascuno a un servizio web unico. Nella stragrande maggioranza di questi, ho ricevuto solo posta legittima. Sugli altri, ho potuto identificare due casi:

• Nel primo caso, l'email è stata utilizzata per creare un account per un sito Web legittimo gestito da un'azienda che è sufficientemente grande da presumere che la gestione dei tuoi dati personali è praticamente tutta automatizzata. IN TUTTI I CASI, quando ho iniziato a ricevere SPAM, una ricerca su Google ha indicato articoli di notizie secondo cui il sito web era stato violato settimane o mesi prima dell'inizio dello SPAM. NELLA MAGGIOR PARTE DEI CASI, l'azienda mi ha anche informato della fuga di dati dopo aver scoperto il problema, ma in uno o due casi non lo hanno fatto ...

• Nel secondo caso, e analogamente a quanto sopra, ho generato l'email per creare un account o richiedere un servizio su un sito web legittimo. Tuttavia, è probabile che qui la mia email sia stata memorizzata sul personal computer di qualcuno (piccolo sito web, servizio per il quale puoi aspettarti di ricevere un'email personale da un essere umano, ecc.) In particolare, ho molti indirizzi che sono trapelati quando sono stati utilizzati per registrarsi a un evento occasionale come uno spettacolo. In tal caso, presumo che gli organizzatori abbiano appena creato il sito Web per l'evento con un modulo in modo che possano raccogliere l'elenco dei partecipanti. Quindi inviano manualmente messaggi legittimi, ma sfortunatamente da un computer con un software dannoso in grado di raccogliere i miei dati. Qui, MAI, ho trovato articoli di notizie sulla fuga di notizie, né sono stato informato dagli organizzatori di alcun hack.