בגיטלאב עשו לעובדים מבחן פישינג בסיסי, ויותר מדי מהם נפלו בפח

ענקית הקוד הפתוח רצתה לבדוק מדגמית האם העובדים שלה, כולל מתכנתים מנוסים, יפלו למלכודת פישינג בסיסית במיוחד

תמונה: Pexels

GitLab, המתחרה הגדולה של GitHub של מיקרוסופט. מעסיקה יותר מאלף עובדים, גייסה כמעט חצי מיליארד דולר ושווה 2.75 מיליארד דולר על פי נתוני PitchBook. היינו אולי מצפים שהעובדים שלה, שרבים מהם מפתחים מנוסים, יהיו בחוד החנית של כל הנוגע לאבטחה ולמודעות לשימוש בטוח ברשת. אז זהו, שבדיקה פנימית חדשה של GitLab הוכיחה שפישינג יכול לעבוד גם על הטובים ביותר.

ברכות! נבחרת לקבל מקבוק חדש!

לצורך המבחן, ביצע צוות הבדיקה של GitLab ביצע מספר מהלכי פישינג שכיחים למדי: ראשית, הוא רכש דומיין בשם gitlab.company, הרים חשבון G Suite, ואף רכש תעודות SSL כדי לא לעורר חשד.

כך נראה המייל המשכנע שקיבלו הנבדקים

במסגרת Spear Phishing, כלומר פישינג מטורגט אישית, בחרו חוקרי האבטחה מספר עובדים כמטרות, ושלחו להם את המייל שאתם מחכים לו כבר שנים: הודעת שדרוג ללפטופים של העובדים. בתוך המייל חיכתה להם מלכודת פישינג קלאסית. אתם יודעים, כזאת שאין סיכוי שאתם הייתם נופלים בה. “ברכות. מחלקת ה-IT שלך בחרה בך בתור מועמד לתוכנית ריענון המכשירים של אפל. ה-Macbook Pro הבא נבחר עבורך”. מפתה.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

המייל, שאמור להתחזות למחלקת ה-IT של GitLab נראה בכלל כמו מייל תמיכה של אפל, כך שהוא היה אמור לעורר חשד אצל אלו שמבינים דבר או שניים בסכנות ברשת. בסוף המייל המתין לינק שמבקש מהנבדקים להכנס אליו כדי לשנות את המפרט של המחשב ולגלות פרטים נוספים על תוכנית ההחלפה, וכל מה שהוא מבקש זה שתיכנסו לחשבון ה-GitLab שלכם.

צוות הבדיקה השאיר לא מעט רמזים שניתן היה להגיע אליהם בלחיצה על More Options ו-Show Original בג’ימייל. אתם יודעים, הדבר הזה שאתם אמורים לעשות כשאתם חושדים שמדובר בהודעת פישינג. בין היתר, הצוות עשה שימוש בפרויקט קוד פתוח בשם GoPhish, שמאפשר לבדוק תגובות לקמפייני פישינג.

וזה מה שהעובדים היו רואים אם היו לוחצים על Show Original

תוצאות די עגומות

מתוך 50 עובדים שנבחרו באקראי, 17 מהם לחצו על לינק הפישינג שהופיע במייל החשוד. הבעיה האמיתית היא, שמתוך אותם 17 שלחצו, 10 מהם גם חשפו את פרטי הגישה שלהם למערכת. מדגמית, 20% מהנבדקים פשוט הגישו את פרטי הגישה שלהם לגורם עוין, מה שכמובן יכול להוביל די מהר לאסקלציה. למרות התוצאות העגומות של GitLab (שפירסמה את הבדיקה במלואה כאן), 6 מתוך כלל הנבדקים (12%) דיווחו על המייל החשוד למחלקת האבטחה, מה שאולי היה יכול למנוע נזק מיידי. עם זאת, החברה מתייחסת למספר הדיווחים כמספר נמוך מדי, וטוענת כי תבצע בדיקות שכאלו מעתה על בסיס רבעוני.

 

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

7 תגובות על "בגיטלאב עשו לעובדים מבחן פישינג בסיסי, ויותר מדי מהם נפלו בפח"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
nope
Guest

אסקלציה ולא אקסלציה

הלוחץ
Guest

מי ישמע גם אם לחצת זה רק מתוך סקרנות. מהר מאוד אפשר להבין שמדובר בפישינג.

המתחבר
Guest

הבעיה האמיתית היא ש- 10 מתוך ה17 שלחצו, גם התחברו למשתמש שלהם.

יופי נחמה
Guest

חצי פרסומת ל- GoPhish
תעשו two-factor

אלעד
Guest

זה לא היה עוזר. התוקף יכול לבקש 2FA ולהשתמש בו מיד להתחבר לחשבון של העובד

גם נחמה
Guest

קצת יותר מורכב כי צריך להכיר את שירות 2FA שלהם, להתחבר אליו אוטומטי מתי שהנתקף מנסה להכנס, להיות מאושר על ידי מנהל המערכת לבצע 2FA, וגם הנתקף ישאל את עצמו פעמיים למה הוא צריך להכנס שוב אם הוא כבר מחובק ולמה צריך 2FA למשהו יחסית פשוט.
גם ל- 2FA יש בעיות אבל זה סיפור אחר לגמרי מסתם לקבל סיסמה

סייבר
Guest

לא מבין למה להתעסק עם התקנה של קוד פתוח, לקנות דומיין, להגדיר שרתים בשביל זה? רק תשלום שכר לעובד שהגדיר את זה עולה יותר משימוש בשירות מוכן, צריך רק לחפש הודעות פישינג לעובדים או מבחן פישינג לעובדים ומקבלים הכל מוכן, זה מה שאנחנו עושים אצלנו בחברה, הכי פשוט וקל.

wpDiscuz

תגיות לכתבה: