Antes-durante-después de un Fraude al correo: Acciones concretas
Estimados amigos de Inseguros !!!A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.Guarda este recomendación, para que cuando te pase, o cuando te llame el "amigo" que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros... puedas ayudar. Durante • Restablecer la contraseña del usuario o usuarios implicados • Desactivar reglas del buzón de entrada que han sufrido el compromiso • Eliminar direcciones de reenvío de correo electrónico • Cerrar todas las sesiones de Office 365 para las cuentas de la empresa • Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector. Detectar • Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas • Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos • Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa • Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc) • Nuevo reenvío de buzón de correo a una dirección externa • Nuevos delegados de buzón de correo • Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP • Inicios de sesión exitosos desde servicios proxy de anomimato • Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional Responder • ¿Qué dirección IP se registró durante el inicio de sesión? • ¿La dirección IP inició sesión en otras cuentas? • ¿El atacante creó alguna regla de bandeja de entrada? • ¿El atacante habilitó el reenvío de correo electrónico externo? • ¿Cuándo obtuvo acceso el atacante a las cuentas? • ¿El atacante agregó algún delegado? • ¿El atacante accedió a algún archivo? Después • Habilitar auditoría de buzones de correo en Office 365 • Integrar Office 365 con SIEM • Implementar políticas de acceso condicional • Desactivar el reenvío automático en Office 365 • Habilitar MFA • Formación al usuario Si tienes más ideas, no dudes en escribirme y mejoras el documento.Y aquí la publicidad.Has hecho ya el mejor curso de Hacking Azure del mercado? xDDDRecuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.
.png)
Estimados amigos de Inseguros !!!
A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.
Guarda este recomendación, para que cuando te pase, o cuando te llame el "amigo" que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros... puedas ayudar.
.png)
Durante
• Restablecer la contraseña del usuario o usuarios implicados
• Desactivar reglas del buzón de entrada que han sufrido el compromiso
• Eliminar direcciones de reenvío de correo electrónico
• Cerrar todas las sesiones de Office 365 para las cuentas de la empresa
• Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector.
Detectar
• Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas
• Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos
• Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa
• Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc)
• Nuevo reenvío de buzón de correo a una dirección externa
• Nuevos delegados de buzón de correo
• Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP
• Inicios de sesión exitosos desde servicios proxy de anomimato
• Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional
Responder
• ¿Qué dirección IP se registró durante el inicio de sesión?
• ¿La dirección IP inició sesión en otras cuentas?
• ¿El atacante creó alguna regla de bandeja de entrada?
• ¿El atacante habilitó el reenvío de correo electrónico externo?
• ¿Cuándo obtuvo acceso el atacante a las cuentas?
• ¿El atacante agregó algún delegado?
• ¿El atacante accedió a algún archivo?
Después
• Habilitar auditoría de buzones de correo en Office 365
• Integrar Office 365 con SIEM
• Implementar políticas de acceso condicional
• Desactivar el reenvío automático en Office 365
• Habilitar MFA
• Formación al usuario
Si tienes más ideas, no dudes en escribirme y mejoras el documento.
Y aquí la publicidad.
Has hecho ya el mejor curso de Hacking Azure del mercado? xDDD
Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.
