20%的GitLab员工在网络钓鱼测试中交出登录凭据

2020-05-25 03:44:20

在网络安全领域,总是有很多人谈论培训员工意识到网络钓鱼企图的重要性。培训确实有效,但它不是万能的,现实情况是,总会有员工在接受培训后上当受骗。

尽管有各种行业估计,但代码库管理公司GitLab Inc.。他们决定对自己的员工进行网络钓鱼,看看会发生什么。结果并不好:五分之一的员工被假电子邮件迷住了。

周三宣布的演习涉及GitLab模仿针对GitLab员工的网络钓鱼行动,目的是获取GitLab.com凭据。多因素身份验证等防御措施不被认为是测试的一部分,虚假网络钓鱼攻击旨在模仿基本攻击,通过虚假登录页面集中在主要身份验证凭据上。

这次演习背后的GitLab团队购买了域名gitlab.company,然后使用G Suite来简化钓鱼电子邮件的传递。域名和G Suite服务被设置为看起来合法,并配有SSL证书,以使电子邮件在自动网络钓鱼网站检测和人工检查中看起来不那么可疑。

GitLab的50名员工收到了一封电子邮件,要求他们点击一个链接接受升级。这个链接将他们带到了假的gitlab.company网站,他们被要求在那里输入他们的登录详细信息。

积极的一面是,50名目标员工中只有17人点击了提供的链接。然而,这17人中有10人随后试图登录到假网站。那些登录到虚假网站的人随后被重定向至GitLab手册的网络钓鱼测试部分。

收到这封虚假钓鱼邮件的50名员工中,有6名向GitLab的安全运营团队报告称该邮件可疑。

20%的数字与更广泛的行业预期大致持平。本周早些时候发布的Verizon 2030数据泄露调查报告发现,近四分之一的入侵涉及网络钓鱼。

威胁检测公司Red Canary Inc.的联合创始人兼首席产品官克里斯·罗斯(Chris Rothe)告诉SiliconANGLE:“网络钓鱼是无法完全预防的一个很好的例子。”因为电子邮件是一项关键的业务功能,所以在大多数情况下,它必须针对其业务功能而不是安全性进行优化。IT团队可以使用很多策略来减少成功的网络钓鱼攻击者的数量--电子邮件拦截、剥离和分析附件、意识培训--但没有100%的解决方案。“。

通过一键订阅我们的YouTube频道(如下所示),显示您对我们使命的支持。我们的订阅用户越多,YouTube向您推荐的相关企业和新兴技术内容就越多。谢谢!。

…。我们还想告诉您我们的使命,以及您如何帮助我们完成它。SiliconANGLE Media Inc.的商业模式是基于内容的内在价值,而不是广告。与许多在线出版物不同的是,我们没有付费墙或投放横幅广告,因为我们想让我们的新闻保持开放,不受影响,也不需要追逐流量。关于SiliconANGLE的新闻、报道和评论-以及我们的硅谷演播室和CUBE的全球巡回视频团队提供的现场无脚本视频-需要大量的辛勤工作、时间和金钱。要保持高质量,需要赞助商的支持,这些赞助商与我们对无广告新闻内容的愿景保持一致。

如果您喜欢这里的报道、视频采访等无广告内容,请花点时间查看一下我们赞助商支持的视频内容样本,发推特表示支持,并不断回到SiliconANGLE。