2min

Een phishingtest van GitLab gehouden op het eigen personeel heeft 20 procent de inloggegevens opgeleverd. GitLab wilde zien of eigen werknemers zich bewust zijn van de risico’s van het klikken op malafide links.

In de test werden extra beveiligingsmaatregelen als two-factor-authentication buiten beschouwing gelaten en ging het puur om het buitmaken van inlognaam of wachtwoord voor de GitLab-systemen. 50 medewerkers werden uitgekozen als doelwit, waarna deze een mail kregen met het verzoek hun laptop van de zaak te upgraden.

G Suite werd gebruikt om de mail zo echt mogelijk te laten lijken, inclusief SSL-certificaten. Daarmee zou het voor werknemers lastiger zijn geweest om te zien dat het een door de spambeveiliging geglipte phishingmail ging. Volgens GitLab zou het nabootsen van een dergelijke mail middels G Suite uitermate goedkoop of in sommige gevallen zelf gratis kunnen zijn.

Werknemers werden in de mail gevraagd naar de site van de IT-afdeling te gaan, door op een link te klikken. Het domein gitlab.company werd gebruikt om het zo officieel mogelijk te doen lijken, maar in werkelijkheid werd een neppe versie van de GitLab-website voorgeschoteld. Het doel van het Red Team werd als geslaagd gemarkeerd als een gebruikersnaam of wachtwoord werd ingevuld.

Van de 50 uitgestuurde mails klikten zeventien werknemers op de link naar de phishingsite, waarna er tien ook daadwerkelijk probeerden in te loggen. Die werknemers werden vervolgens doorgelinkt naar het handboek van GitLab met wat wel en wat niet te doen met inloggegevens. Slechts zes van de 50 medewerkers stuurde de mail door naar de afdeling die over de beveiliging van GitLab gaat.

GitLab gaf na de test ook een aantal pointers aan gebruikers om aan te geven hoe dergelijke pogingen van échte malafide partijen kunnen worden onderschept. Afgezien van interne tips (zo zou het gaan om een upgrade naar een ouder model laptop) werd ook aangegeven dat in Gmail meer details van een afzender ingezien kunnen worden. Zo was er in de originele afzender duidelijk terug te zien dat er gebruik was gemaakt van een systeem met de naam ‘gophish’.

Tip: GitLab: een DevSecOps-platform met een open-source kern