Estimados amigos de Inseguros !!!
A día de hoy hablar del BEC ( Business Email Compromise) o timo del CEO, o el timo del cambio de factura no es nada nuevo. Tampoco es nuevo que a pesar de que lo sabemos, NUESTROS usuarios caen. Hay medidas técnicas, medidas organizativas, hay todo tipo de medidas a implementar para minimizar la posibilidad, o a las malas, el impacto.
Guarda este recomendación, para que cuando te pase, o cuando te llame el «amigo» que te cuenta que en la empresa del hijo han robado nosecuantosmiles de euros… puedas ayudar.
Durante
• Restablecer la contraseña del usuario o usuarios implicados
• Desactivar reglas del buzón de entrada que han sufrido el compromiso
• Eliminar direcciones de reenvío de correo electrónico
• Cerrar todas las sesiones de Office 365 para las cuentas de la empresa
• Restablecimiento de contraseña empresarial, en caso de no tener focalizado el vector.
Detectar
• Regla de bandeja de entrada creada para reenviar correos electrónicos a carpetas de RSS, suscripciones, correo no deseado o notas
• Regla de bandeja de entrada creada para eliminar automáticamente correos electrónicos
• Regla de bandeja de entrada para redirigir mensajes a una dirección de correo electrónico externa
• Reglas de bandeja de entrada con palabras clave sospechosas (por ejemplo: virus, wetransfer, factura, banco,etc)
• Nuevo reenvío de buzón de correo a una dirección externa
• Nuevos delegados de buzón de correo
• Inicios de sesión exitosos desde códigos de país atípicos utilizando datos geo-IP
• Inicios de sesión exitosos desde servicios proxy de anomimato
• Inicios de sesión exitosos precedidos por inicios de sesión fallidos debido a políticas de acceso condicional
Responder
• ¿Qué dirección IP se registró durante el inicio de sesión?
• ¿La dirección IP inició sesión en otras cuentas?
• ¿El atacante creó alguna regla de bandeja de entrada?
• ¿El atacante habilitó el reenvío de correo electrónico externo?
• ¿Cuándo obtuvo acceso el atacante a las cuentas?
• ¿El atacante agregó algún delegado?
• ¿El atacante accedió a algún archivo?
Después
• Habilitar auditoría de buzones de correo en Office 365
• Integrar Office 365 con SIEM
• Implementar políticas de acceso condicional
• Desactivar el reenvío automático en Office 365
• Habilitar MFA
• Formación al usuario
Si tienes más ideas, no dudes en escribirme y mejoras el documento.
Y aquí la publicidad.
Has hecho ya el mejor curso de Hacking Azure del mercado? xDDD
Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.
