【CEO Secret】事無大小 都要上身!
會計部初級職員錯信釣魚郵件,令世界最大嘅飛機零件製造商 FACC 損失約 5 千萬美元,時任 CEO 同 CFO 雙雙被炒,更被企業以「沒有盡責防止事件發生」 為由告上法院。法庭最終沒有受理案件,但足以反映呢個低成本行騙模式嘅利潤與破壞力,隨時令 CEO 躺著也中槍。
釣魚攻擊嘅相關個案不斷上演,而且觸及各行業同層面,唔係科網業嘅安全意識就特別高,你睇 Facebook 同 Google 不單喺受害者名單上,損失更係史上 Top 3 之列,所以大企業都唔敢輕視呢種攻擊手法,將防禦術編入入職培訓課程。搞係搞咗,但到底有幾多人留心聽書?
軟件開發平台 GitLab 想知答案,最近喺內部舉辦突擊測驗,喺充滿破綻嘅郵件同網頁上放上更換 MacBook Pro 2019 嘅魚餌,結果 50 位收件員工之中,有 17 位 click 咗條 Link,當中 10 位更輸入埋自己嘅 Login 添!
突擊測驗流程由 GitLab 嘅 Red Team 攞到 Gitlab.company Domain 開始,Domain 與郵件透過 GSuite 確認 DKIM 並得到 SSL 認證,無咁易被郵箱嘅防禦系統自動過濾。呢啲嘢成本相當低,有時候可以免費。Red Team 採用開源軟件 GoPhish,介面相當 User Friendly,好多訂製選項,可以輕鬆追蹤與獲取所需資訊。
有咗呢個基礎,Red Team 就扮 IT 部門,向員工發出更換 Laptop 電郵,並指示收件者點擊連結去到偽冒嘅 Gitlab 網頁 Gitlab.company,騙取收件者電郵或 Login。Red Team 喺度已留有一手,無呃埋最有用嘅 Login 密碼。
睇返電郵 Screen cap,雖然有 Apple Logo 同 Apple Copyright 2020 加持,但個 it-ops@gitlab(.)company 已經好礙眼,叫人 upgrade 一部舊型號嘅 MacBook Pro 呢點,視乎公司本身慳唔慳家,GitLab 個 Culture 係唔會慳呢筆錢,所以係另一個破綻。美國公司溝通機制比較嚴格,如上述嘅行政安排理應有第二個溝通渠道確認訊息,如電話或 Slack。有咗呢幾個疑點,就可能觸發大家快速檢查下 Email Header 詳情,一按 Show Original 就會露出 Phish 呢類 Keyword。
17 位中招員工,喺被傳送到 Gitlab.company 網站嘅時候,有 7 位應該發現網址鬼鬼地或明明已經 Login 又要再入一次,但有 10 位依然盲目 Login,中伏率達 20%,與 Verizon《2020 數據失竊調查報告》調查結果一般為 25% 相若,即係入職培訓同 Handbook 成效不彰。報告建議加強定期培訓,配合季度突擊測驗,希望員工提高警覺。
相關文章:【真係新咩?】黑客變招-釣魚電郵改呃法