בגיטלאב עשו לעובדים מבחן פישינג בסיסי, ויותר מדי מהם נפלו בפח
by עידן בן טוביםענקית הקוד הפתוח רצתה לבדוק מדגמית האם העובדים שלה, כולל מתכנתים מנוסים, יפלו למלכודת פישינג בסיסית במיוחד
GitLab, המתחרה הגדולה של GitHub של מיקרוסופט. מעסיקה יותר מאלף עובדים, גייסה כמעט חצי מיליארד דולר ושווה 2.75 מיליארד דולר על פי נתוני PitchBook. היינו אולי מצפים שהעובדים שלה, שרבים מהם מפתחים מנוסים, יהיו בחוד החנית של כל הנוגע לאבטחה ולמודעות לשימוש בטוח ברשת. אז זהו, שבדיקה פנימית חדשה של GitLab הוכיחה שפישינג יכול לעבוד גם על הטובים ביותר.
ברכות! נבחרת לקבל מקבוק חדש!
לצורך המבחן, ביצע צוות הבדיקה של GitLab ביצע מספר מהלכי פישינג שכיחים למדי: ראשית, הוא רכש דומיין בשם gitlab.company, הרים חשבון G Suite, ואף רכש תעודות SSL כדי לא לעורר חשד.
במסגרת Spear Phishing, כלומר פישינג מטורגט אישית, בחרו חוקרי האבטחה מספר עובדים כמטרות, ושלחו להם את המייל שאתם מחכים לו כבר שנים: הודעת שדרוג ללפטופים של העובדים. בתוך המייל חיכתה להם מלכודת פישינג קלאסית. אתם יודעים, כזאת שאין סיכוי שאתם הייתם נופלים בה. “ברכות. מחלקת ה-IT שלך בחרה בך בתור מועמד לתוכנית ריענון המכשירים של אפל. ה-Macbook Pro הבא נבחר עבורך”. מפתה.
המייל, שאמור להתחזות למחלקת ה-IT של GitLab נראה בכלל כמו מייל תמיכה של אפל, כך שהוא היה אמור לעורר חשד אצל אלו שמבינים דבר או שניים בסכנות ברשת. בסוף המייל המתין לינק שמבקש מהנבדקים להכנס אליו כדי לשנות את המפרט של המחשב ולגלות פרטים נוספים על תוכנית ההחלפה, וכל מה שהוא מבקש זה שתיכנסו לחשבון ה-GitLab שלכם.
צוות הבדיקה השאיר לא מעט רמזים שניתן היה להגיע אליהם בלחיצה על More Options ו-Show Original בג’ימייל. אתם יודעים, הדבר הזה שאתם אמורים לעשות כשאתם חושדים שמדובר בהודעת פישינג. בין היתר, הצוות עשה שימוש בפרויקט קוד פתוח בשם GoPhish, שמאפשר לבדוק תגובות לקמפייני פישינג.
תוצאות די עגומות
מתוך 50 עובדים שנבחרו באקראי, 17 מהם לחצו על לינק הפישינג שהופיע במייל החשוד. הבעיה האמיתית היא, שמתוך אותם 17 שלחצו, 10 מהם גם חשפו את פרטי הגישה שלהם למערכת. מדגמית, 20% מהנבדקים פשוט הגישו את פרטי הגישה שלהם לגורם עוין, מה שכמובן יכול להוביל די מהר לאסקלציה. למרות התוצאות העגומות של GitLab (שפירסמה את הבדיקה במלואה כאן), 6 מתוך כלל הנבדקים (12%) דיווחו על המייל החשוד למחלקת האבטחה, מה שאולי היה יכול למנוע נזק מיידי. עם זאת, החברה מתייחסת למספר הדיווחים כמספר נמוך מדי, וטוענת כי תבצע בדיקות שכאלו מעתה על בסיס רבעוני.