Gitlab "phishte" nach Passwörtern seiner Angestellten – mit Erfolg

26. Mai 2020 um 13:13
image

Ein vom Cloud-Hoster durchgeführter Test-Angriff auf die eigenen Mitarbeitenden zeigte, dass sich mit Phishing leicht Passwörter ergattern lassen.

Auch die Mitarbeitenden von IT- und Softwareunternehmen sind nicht vor Phishing-Angriffen gefeit und lassen sich verleiten, ihre Passwörter preiszugeben. Dies zeigt ein Test unter den Angestellten von Gitlab. Jeder Fünfte gab dabei seine Daten auf einer gefälschten Anmeldeseite ein.
Der Scheinangriff simulierte eine gezielte Phishing-Kampagne (Spear Phishing), um die Mitarbeitenden dazu zu bringen, ihre Zugangsdaten preiszugeben, schreibt Gitlab. Für den Test haben die Security-Verantwortlichen des Unternehmens die Domain gitlab.company erworben. Die E-Mails wurden via Googles G Suite und dem Open-Source-Framework GoPhish versandt.
Zufällig ausgewählte Mitarbeitende erhielten eine Nachricht, die aussah als stamme sie von der IT-Abteilung von Gitlab mit dem Inhalt, dass der Empfänger ein Laptop-Upgrade erhalte.
"Die Zielpersonen wurden gebeten, auf einen Link zu klicken, um ihr Upgrade zu erhalten. Dieser Link führte auf eine gefälschte Anmeldeseite von Gitlab, die auf der Domain 'gitlab.company' gehostet wurde", schreibt Security-Manager Steve Manzuik.

Über ein Drittel klickt

Von den 50 Personen, die die Nachricht erhalten haben, klickte über ein Drittel auf den Phishing-Link. Etwas mehr als die Hälfte von diesen wiederum versuchte, sich auf der gefälschten Website einzuloggen. Somit haben 10 Personen ihre Anmeldedaten preisgegeben. Immerhin aber haben 6 Empfänger haben die E-Mail als verdächtig markiert und dem Security-Team weitergeleitet.
Es habe einiges gegeben, das die Mitarbeitenden darauf hätte hinweisen müssen, dass es sich um ein Phishing-E-Mail handeln könnte. Als Absender tauchte die Adresse [email protected] auf statt einer @gitlab.com-Adresse. Dasselbe galt für die URL, auf die verwiesen wurde. Zudem sei erkennbar gewesen, dass GoPhish für das Versenden der E-Mail verwendet wurde. Inhaltliche Fehler in der Nachricht hätten die Mitarbeitenden ebenso stutzig machen müssen, wie das Ausbleiben weiterer Informationen zum vermeintlichen Upgrade-Programm, führt Gitlab aus.
Es sei aber ermutigend zu sehen, dass die Ergebnisse des Unternehmens besser seien als der Branchendurchschnitt, sagte Jonathan Hunt, VP Secuirty bei Gitlab, gegenüber 'The Register'. "Einige Anbieter behaupten, dass die durchschnittliche Rate erfolgreicher Phishing-Angriffe etwa bei 30 bis 40% liegt. Es ist schön zu sehen, dass wir darunter liegen."
Es überrascht somit nicht, dass Phishing gemäss einer Verizon-Studie die häufigste Ursache von Datenlecks ist. Die Melde- und Analysestelle des Bundes (Melani) warnt regelmässig vor Phishing-Wellen.
Das Red-Team von Gitlab, das den Test-Angriff beim Cloud-Hoster durchgeführt hat, rät deshalb auch, die Mitarbeitenden zu sensibilisieren und weitere Übungen durchzuführen. Katja Dörlemann, Awareness-Spezialistin bei Switch, fügte in einem Gastbeitrag auf inside-it.ch an, dass Phishing-Tests vor allem im Rahmen einer Awareness-Kampagne sinnvoll seien. Regelmässig durchgeführt, könnten Phishing-Simulationen das gelernte Security-Wissen verankern. 

Loading

Mehr zum Thema

image

Die Nachhaltigkeitsagenda im öffentlichen Leben umsetzen

Die öffentliche Hand strebt nach Nachhaltigkeit, setzt Ziele und kommuniziert sie. Die Herausforderung liegt in der Evaluierung der Umsetzung. Hierfür gibt es Tools, die den Impact messen, Trends beobachten und Handlungsempfehlungen aus dem Verhältnis zwischen Indikator und Ist-Zustand ableiten.

image

"Es wird oft vergessen, die Transformation ins Projektbudget einzurechnen"

Stefan Lobmeyer ist Change Manager für IT-Projekte bei Behörden. Wir haben mit ihm über häufige Fehler und die Komplexität von Ausschreibungen gesprochen.

publiziert am 24.11.2023 2
image

KMU fühlen sich schlecht über Cyber­gefahren informiert

Der Berner Gewerbeverband hat KMU zu ihren Sorgen und Problemen gefragt. Neben Fachkräftemangel und finanziellen Druck sorgen sie sich wegen Cyberrisiken.

publiziert am 24.11.2023
image

Fachkräftemangel bremst Digitali­sierung der Steuer­verwaltung

Die Eidgenössische Steuerverwaltung tut sich schwer mit dem Recruiting von IT-Fachleuten. Auch beim bundeseigenen IT-Dienstleister BIT gibt es nicht genügend Ressourcen.

publiziert am 24.11.2023