Reprise du message précédent :
Ben tu te fait prendre pour un jambon par un pirate ET viré par ta boîte parce que ta négligence est la source du problème , c'est pas beaucoup mieux  

Et puis ta boîte qui t'annonce une prime et te demande de remplir un formulaire avec identifiant & co pour l'avoir, c'est quand même assez étrange ...

ici on utilise pas mal les liens one drive au contraire

Bien sûr, c'est ce qu'on dit depuis le début, que l'exercice est cruel, surtout en temps de covid, de période difficile, etc. Ne pas comprendre ça c'est avoir un manque d'empathie énorme. Faire leur test avec " pour une augment' rapide, clic here" en période hors Noël et hors covid, ça suffira bien a entrainer les gens.

+1 sur ce que dit eowyn.

Sur la partie technique, le problème c'est que les filtres sont désactivés dans ce cas, pour toucher tous les salariés. Alors que même si l'attaque est faite sur tous les salariés en vrai, il y aura probablement un blocage :
- car email suspect per se
- car email en masse sur toutes les adresses, donc flagué en spam
- car une dizaine de salariés vont le marquer en spam, et il sera bloqué de diffusion sur les autres adresses, voire rollbacké depuis les serveurs pour ceux qui l'ont eu
- car le domaine listé sera blacklisté du vpn soit par défaut car nouveau domaine créé, soit parce que certains emails auront été annoncé en spam.
- et d'autres que je connais même pas.

Dans ces tests, on desactive toutes les protections, donc on a plein de gens informés, comme si le mail avait été validé par l'IT. Dans ma boîte par exemple, on a ces tests une fois par mois mini, et a chaque fois on s'échange des messages en mode "tiens, fais attention, le message de carte de voeux c'est l'IT qui s'amuse encore a nous piéger", et ça peut être discuté en long en large et en travers. Donc on apprend bien a les marquer en spam, mais pas a reconnaitre un message douteux. Sachant que la différence entre un spam de l'IT et un message des HR n'existe pas ( expéditeur externe, mail en français approximatif, etc.).

Ici, aussi on utilise les liens ondrive.
Un employé d'une banque m'avait envoyé des fichiers depuis un lien Onedrive.
 
J'ai pu trouvé quelques infos sur le mail de phishing il a été envoyé depuis une adresse @gocladdy.com.
 
Le titre était :
"Happy Holiday GoDaddy! 2020 has been a record year for GoDaddy, thanks to you!"
Ce qui est exact, ils ont fait de beaux bénéfices.
 
 
"Though we cannot celebrate together during our annual Holiday Party, we want to show our appreciation and share a $650 one-time Holiday bonus!.  
To ensure that you receive your one-time bonus in time for the Holidays,  
please select your location and fill in the details by Friday, December 18th."
 
A mon avis ce genre d'attaque est contreproductif pour une boite, aussi bien pour briser la réputation, mettre une mauvaise ambiance et faire détester la sécurité.
Ca fait passer les gens de la sécurité pour des enfoirés.
Ca doit être sympa pour tous ceux qui bossent à l'IT quand ils doivent voir leur collègues.
Ils doivent se prendre plein de remarques "ca vous amuse dans la situation actuelle où l'on est de nous faire ça ?".
Ils n'ont pas la même couverture sociale que ce que l'on possède en France, il doit y avoir des personnes qui sont en situation très précaire.
La sécurité est déjà assez chiante comme cela pour tout le monde, c'est pas utile d'en rajouter une couche.

 
un peu la même constatation ici. J'ai déjà reporté comme spam des messages légitimes de la com interne ou du cse, c'est impossible à différencier de maisl malveillants vu qu'une fois sur deux ils viennent de services externes (donc nom de domaine inconnu au bataillon), foutent le corps du texte dans un .jpg, etc.
Maintenant à la moindre hésitation j'ai tendance à ignorer et puis c'est tout.

Du coup qu'est-ce qui permettait de ne reconnaitre que c'était du phishing et ne pas se faire avoir ? Le moment où ça te demande un login et password ?

 
ici dès le moment où tu cliques sur un lien dans le mail c'est foutu, tu as échoué au test

Wat ?

On parle de Godaddy, pas Walmart.
En plus c'est aussi gros qu'un scam nigérien.
Penser qu'un employeur a besoin d'informations supplémentaires pour payer une prime...

 
Avec le nom de domaine, tu pouvais le voir, mais tu peux facilement te faire avoir.

Non mais encore une fois, le problème c'est pas le test, c'est le sujet du test : le fait que ça annonce une prime.
Sauf si l'entreprise a effectivement versé une prime ensuite, c'est juste salaud de leur part, c'est tout, faut arrêter avec le "gnéé c'est gros comme une maison que c'était du phishing".

Oui, c'est de la Malicious compliance. Maintenant, si le mail interne est dans ce cas, mais que j'aime pas le contenu -> spam et je suis pas au courant.

Non, si tu cliques c'est déjà trop tard.
L'adresse qui n'est pas interne a la boite, l'URL surlignée qui est hors du domaine, + sûrement des fautes, dans leur cas.

Si plusieurs personnes relèvent un email comme spam qui contient un lien, dans notre cas, on a une passerelle qui gère de l'URL filtering (et aussi fait MItM pour chaque communication), qui par défaut a des filtres de réputation couplé a l'antispam. Donc la, tu auras un lien www.payetaprime.com, le site aura été marqué spam par plusieurs personnes + domaine avec réputation faible = blocage. C'est une surcouche de notre VPN, si tu préfères, et que c'est le terme qui te gène.

Il y a également un blocage d'URL récentes (=domaine acheté il y a moins de x semaines), donc l'URL en vrai aurait été coupée très vite.

C'est le même principe que le Loto : On te fait miroiter un gain "facile" et pourtant ca ne fait pas autant parler

Ah ca c'est con, j'aime bien cliquer pour voir comment c'est foutu
(depuis une VM sandbox pour limiter le risque de lien qui exploite une faille 0days)

J'en ai eu un avec un sondage sur l'état moral avec le confinement.
Après j'ai la chance d'être dans un service qui ne communique qu'en interne, on a très peu voire quasiment pas d'interaction avec l'extérieur, donc ça limite les risques.
Et comme ça arrivait après une campagne de serious games sur le sujet, le phishing je l'ai vu arriver avec ses gros sabots.

 
jpp de ces trucs, la gamification de la cogip là, insupportable

Sauf que a priori c'est pas lié DU TOUT au vpn
Au serveur de mail, au proxy de navigation, a l'antispam... Tout ça d'accord, mais pas le VPN
Ou alors, quand t'es sur site (a priori sans passer par le vpn donc), le machin est pas fonctionnel ?
Ou alors c'est tout dans ton fw next-gen que t'appelle "un vpn". Ou tu confond zscaler avec un vpn

 
putain, pareil.
 
 
je demande l'avis de gloubi sur cette histoire de spam a prime.  

On a des spécialistes ici aussi, à chaque test (donc au moins une fois par mois ou plus), ils cliquent et ensuite râlent auprès de l'IT que c'est injuste qu'on les force a refaire encore la certification interne sécurité (plusieurs heures, quand meme ) parce qu'ils avaient leur VM sandbox truc.
La réponse c'est "t'es au boulot, soit tu suis les règles soit tu dégages ^^"

Récemment, sur le réseau social d'entreprise, un kissiconé allemand qui demandait pourquoi son PC enduser sous linux pouvait plus accéder aux serveurs de la boite (l'IT en Europe gère windows en interne et mac en dev+externe uniquement), et il disait que c'était un critère a son embauche de travailler sous linux. L'IT qui répond "celui qui vous as promis ça n'avait pas l'autorité pour le faire. Vous pouvez demissionner ou passer sous windows. Bonne journée."  

Bah en gros on a deux listes de trucs bloqués, une via proxy, une via vpn (pas le vpn lui même, un filtre en sortie du vpn si tu veux), et c'est pas les mêmes. D'où l'abus de ma part, je m'en excuse.
Et donc oui, sur site, les restrictions ne sont pas les mêmes (typiquement plus drastiques sur certains points, par exemple navigation interdite sur les sites " récents" alors qu'elle est seulement a autoriser manuellement depuis une page principale depuis chez soi).
Et on est en migration actuellement vers une solution  tout en un mais ça marche pas des masses ( mais je suis éloigné du domaine, comme tu as pu le remarquer, j'ai seulement notre formation interne pour comprendre), donc on a un proxy+ inspection HTTPS (équivalent de ton zscaler, je suppose), un vpn actif en permanence (qui se desactive en arrière plan sur site et se lance forcément au demarage du pc), un analyseur de comportement web via machine learning IA bidule + évidemment Microsoft exchange avec leur filtre anti-spam + un autre anti spam (McAfee je crois). Alors savoir exactement qui fait quoi, même avec leur formation, je ne sais pas (par exemple, entre McAfee et Microsoft je ne sais pas lequel fait quoi dans la gestion du spam).

 
Je t'enverrais tout ce petit monde en serious game pour leur apprendre la politesse faut pas s'étonner que les gens n'aiment pas l'IT avec ce genre de réponse
 

 
Sais-tu pourquoi ce ne sont pas les mêmes ?

Entre ça et un e-learning chiant comme la mort, je préfère encore ça

C'est pas faux  
Après, bon, parfois faut savoir quand se taire quand on ne respecte pas les règles ^^

Parce que certains usages persos sont autorisés a domicile et pas au bureau (acheter des sous-vêtements sur etam, par exemple) et aussi parce qu'avec le BYOD lié au confinement, ils installent le vpn sur des machines perso, donc ça doit pas être au top de la légalité.

Après, d'autres trucs autorisés a domicile ça passe pas par le vpn (netflix, YouTube, spotify, c'est bloqué au boulot, pas chez toi).

Vpn packagé type forticlient? Ça ajoute une règle protection de la navigation ou une connerie dans le genre ?

Dans ma boite, l'installation du client VPN sur la bécane perso n'est pas un pb de légalité, vu que la boite paye au niveau du serveur, (c'est du Pulse Secure, bref du Juniper) pour un certain nombre de connexions.
Et il y a des clients Mac, Windows et Linux.
Par contre dans ma boite, il y a des serveurs (de test! ça serait de la prod, je comprendrais) pas accessibles depuis le réseau externe a la boite (redirection sur une page parking) même par VPN, moyennant quoi, pour faire les tests, faut lancer le VPN, se loguer en remote desktop sur une bécane de la boite, ouvrir un browser sur le portail de test, se loguer dessus avec un compte dédié, et on peut enfin tester    
C'est semble-t'il trop dur de faire reconnaitre nos bécanes en VPN comme étant sur le réseau interne...  
 
A+,

Non mais c'est ptete issu d'une réelle réflexion aussi
Genre un environnement de dev est moins sécurisé que la prod, on considère qu'en remote t'es moins sécurisé que sur site, cumul des deux pas possible en direct. Pas sans passer par un bastion qui ramène un peu de sécu.
Pas que je valide l'un ou l'autre des deux arguments, mais c'est courant comme position.

Pour la légalité, je voulais dire que c'est peut être pas légal de bloquer l'usage d'etam sur un pc perso en dehors des heures de boulot. Donc il n'y a que les pages "risques" qui sautent complètement.
(Mais j'en sais rien au fond du pourquoi ils ont fait ça, je devine)

Oui, nous on a ça.
- pc boulot avec vpn -> toutes fonctions actives
- pc byod avec vpn -> interdiction de télécharger des PJ, des documents issus de l'intranet, onedrive 'ouvre les fichiers en mode web uniquement, etc. En gros, tu ne peux rien stocker en local qui appartient à la boite.

En même temps ça se comprend parfaitement.

Sur mon poste je peux même pas faire un pauvre curl

Bon on va voir demain si on va garder Orion.

Je suis bien tenté par Centreon Business  

Un p'tit scom  

 
Moi je dis un problème d'overlap réseaux ou la flemme d'un admin d'ouvrir le réseau utilisateur VPN au reste de l'infra.    

Non c'est lié au vlan dans lequel j'atterris. L'it fait bien son taff.

Nouveau matos reçu pour faire joujou avec XCP-ng C'est pas du très commun (sans être ultra exotique non plus)

Le mini c'est tout de même IP50, deux IP51 et ya un IP66 Celui là semble incassable (en gros tant que tu fais pas d'immersion complète c'est opé, même dehors sous une grosse pluie quoi !)

edit : https://en.wikipedia.org/wiki/IP_Code pour les curieux

c'est vrai que ces caisses ont l'air bien étanches

C'est des amplis de rougne ?

 
Ce sont les étagères/boîtes de mon labo Je bricole à la maison, et maintenant que je suis presque jamais au bureau, même le matos pro arrive chez moi
 
J'attends toujours 150kg de Dell refurb d'ailleurs pour tout préparer avant de les installer dans le DC

Sous la pluie ? Ça se passe comment l'alimentation électrique pour être IP66, c'est quand même pas du C13/C14 ou un barrel connector classique ?  
J'arrive pas à lire le fabricant en façade des châssis sur ton JPG 800x600 des années 2000

Question bonus : qui mettrait en service un hyperviseur en conditions extrêmes, du style en extérieur susceptible de recevoir de la pluie ? Un chantier de construction ? Un cargo/yacht ? Un labo de recherche en haute montagne ? Un festival de musique ? Ya sûrement un use-case évident mais ça fait pas tilt pour l'instant