Jeden z wiceprezesów właśnie przesłał mi e-mail phishingowy i zapytał, czy jest on legitny. E-mail brzmiał: "Twoje konto Microsoft zostało skompromitowane. Kliknij tutaj, aby zweryfikować swoją tożsamość." Link prowadził do "micros0ft-secure-login(dot)net" (zauważ zero zamiast O). Odpisałem: "To jest wyrafinowana próba spear-phishingu z użyciem spoofingu domeny. Zgłosiłem to naszemu zespołowi ds. operacji bezpieczeństwa w celu analizy zagrożeń. Proszę usunąć e-mail i nie klikać żadnych linków." Nie ma zespołu ds. operacji bezpieczeństwa. To tylko ja. Ale przesłałem e-mail na adres zgłaszania phishingu Microsoftu, oznaczyłem go jako obsłużony w naszym systemie zgłoszeń i wysłałem przypomnienie do całej firmy o "podwyższonej aktywności phishingowej w Q1." Wiceprezes odpisał, dziękując mi za moją "czujność" i "szybką reakcję." Cała sprawa zajęła mi 3 minuty. Ale używając zwrotów takich jak "wyrafinowany" i "analiza zagrożeń", zamieniłem podstawowy e-mail phishingowy w niemal kryzys, który heroicznie przechwyciłem. Bezpieczeństwo nie polega na zapobieganiu problemom. Chodzi o to, aby upewnić się, że wszyscy wiedzą, że je powstrzymano.