Gitlab "phishte" nach Passwörtern seiner Angestellten – mit Erfolg

26. Mai 2020, 13:13
image

Ein vom Cloud-Hoster durchgeführter Test-Angriff auf die eigenen Mitarbeitenden zeigte, dass sich mit Phishing leicht Passwörter ergattern lassen.

Auch die Mitarbeitenden von IT- und Softwareunternehmen sind nicht vor Phishing-Angriffen gefeit und lassen sich verleiten, ihre Passwörter preiszugeben. Dies zeigt ein Test unter den Angestellten von Gitlab. Jeder Fünfte gab dabei seine Daten auf einer gefälschten Anmeldeseite ein.
Der Scheinangriff simulierte eine gezielte Phishing-Kampagne (Spear Phishing), um die Mitarbeitenden dazu zu bringen, ihre Zugangsdaten preiszugeben, schreibt Gitlab. Für den Test haben die Security-Verantwortlichen des Unternehmens die Domain gitlab.company erworben. Die E-Mails wurden via Googles G Suite und dem Open-Source-Framework GoPhish versandt.
Zufällig ausgewählte Mitarbeitende erhielten eine Nachricht, die aussah als stamme sie von der IT-Abteilung von Gitlab mit dem Inhalt, dass der Empfänger ein Laptop-Upgrade erhalte.
"Die Zielpersonen wurden gebeten, auf einen Link zu klicken, um ihr Upgrade zu erhalten. Dieser Link führte auf eine gefälschte Anmeldeseite von Gitlab, die auf der Domain 'gitlab.company' gehostet wurde", schreibt Security-Manager Steve Manzuik.

Über ein Drittel klickt

Von den 50 Personen, die die Nachricht erhalten haben, klickte über ein Drittel auf den Phishing-Link. Etwas mehr als die Hälfte von diesen wiederum versuchte, sich auf der gefälschten Website einzuloggen. Somit haben 10 Personen ihre Anmeldedaten preisgegeben. Immerhin aber haben 6 Empfänger haben die E-Mail als verdächtig markiert und dem Security-Team weitergeleitet.
Es habe einiges gegeben, das die Mitarbeitenden darauf hätte hinweisen müssen, dass es sich um ein Phishing-E-Mail handeln könnte. Als Absender tauchte die Adresse it-ops@gitlab.company auf statt einer @gitlab.com-Adresse. Dasselbe galt für die URL, auf die verwiesen wurde. Zudem sei erkennbar gewesen, dass GoPhish für das Versenden der E-Mail verwendet wurde. Inhaltliche Fehler in der Nachricht hätten die Mitarbeitenden ebenso stutzig machen müssen, wie das Ausbleiben weiterer Informationen zum vermeintlichen Upgrade-Programm, führt Gitlab aus.
Es sei aber ermutigend zu sehen, dass die Ergebnisse des Unternehmens besser seien als der Branchendurchschnitt, sagte Jonathan Hunt, VP Secuirty bei Gitlab, gegenüber 'The Register'. "Einige Anbieter behaupten, dass die durchschnittliche Rate erfolgreicher Phishing-Angriffe etwa bei 30 bis 40% liegt. Es ist schön zu sehen, dass wir darunter liegen."
Es überrascht somit nicht, dass Phishing gemäss einer Verizon-Studie die häufigste Ursache von Datenlecks ist. Die Melde- und Analysestelle des Bundes (Melani) warnt regelmässig vor Phishing-Wellen.
Das Red-Team von Gitlab, das den Test-Angriff beim Cloud-Hoster durchgeführt hat, rät deshalb auch, die Mitarbeitenden zu sensibilisieren und weitere Übungen durchzuführen. Katja Dörlemann, Awareness-Spezialistin bei Switch, fügte in einem Gastbeitrag auf inside-it.ch an, dass Phishing-Tests vor allem im Rahmen einer Awareness-Kampagne sinnvoll seien. Regelmässig durchgeführt, könnten Phishing-Simulationen das gelernte Security-Wissen verankern. 

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?

Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.

publiziert am 30.9.2022
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2