Campagna di GitLab che ha testato i propri collaboratori in remoto (remote-working) con una campagna di auto-phishing. L’obiettivo di ottenere le credenziali di accesso dei dipendenti è stato centrato in pieno.

Fonte: informatoreinformatico.it

Una premessa è doverosa e tanto per essere chiari: il business del phishing è nell’ordine di miliardi di dollari amercani ogni anno.

L’attuale situazione di pandemia ha incoraggiato, a volte costretto, le aziende ad estendere il proprio ecosistema ben oltre le mura dell’azienda con il c.d. “remote working”. La prima conseguenza diretta è che il lavoratore diventa anche l’Amministratore IT di se stesso ma senza le competenze necessarie.

La mancanza di competenze, tuttavia, è un vulnus gravissimo anche nella gestione interna della sicurezza aziendale, come dimostra chiaramente questa campagna. L’inadeguatezza dei dipendenti e, più in generale delle aziende, porta a risultati disastrosi!

E’ quindi sempre più importante che le aziende si occupino della formazione dei propri dipendenti sulla sicurezza e su un sano livello di attenzione per le comunicazioni che avvengono via e-mail, sottolineando che la gestione dell’identificazione e l’autenticazione multi-stadio sono e saranno sempre più importanti, direi vitali in realtà aziendali che si estendono sempre più verso l’esterno.

La cronaca della campagna.

Steve Manzuik, spiega sulla pagina ufficiale di GitLab, come è stato architettato l’attacco. In sostanza è stata creata una falsa comunicazione email indirizzata ad un campione di dipendenti, per indurli a digitare le loro credenziali aziendali su una pagina web creata ad hoc.

GitLab Campagna Phishing RT-011 mail

L’azienda ha attivato un dominio gitlab.company, per poi configurarlo, utilizzando GSuite di Google, per facilitare la consegna della mail di attacco in modo da risultare affidabile, con certificato di sicurezza SSL, e renderlo così meno sospetto ai controlli automatici anti-phishing e ad una superficiale indagine umana.

Lo strumento utilizzato si chiam GoPhish (qui il link alla pagina ufficiale), che permette di creare campagne di phisihng proprio per fare questi test.

Da notare che questo tipo di campagna è considerata un esempio di attacco phishing di basemolto semplice e senza particolari complessità. L’attacco è stato quindi organizzato senza troppe rifiniture, e sono state lasciate appositamente delle piccole tracce che avrebbero dovuto consentire agli utenti di riconoscere la non legittimità della comunicazione ricevuta.

Risultato: il 34% ha cliccato sul link presente nella e-mail di phishing e di questi il 59% ha digitato, e quindi esposto, le proprie credenziali aziendali. In totale la campagna di phishing è riuscita ad acquisire il 20% delle credenziali di accesso delle vittime. Solo una piccola percentuale, il 12%, ha riportato dubbi e sospetti al dipartimento di Sicurezza IT aziendale.

Le vittime avrebero dovuto prestare attenzione ai segnali  come l’indirizzo di provenienza, non convenzionale e legittimo, l’oggetto della mail, che fa riferimento ad un modello (in questo caso MacBook Pro) non recentissimo e quindi potenzialmente inutile come upgrade, e vari riferimenti phishing nei dettagli della mail. Altri campanelli d’allarme erano rappresentati anche dall’URL della pagina falsa linkata o dalla richiesta di login nonostante fosse stato già effettuato.

Ancora una volta si dimostra come un adeguato livello di competenze, di strumenti e di attenzione sia carente nella popolazione degli utenti di sistemi IT e, di conseguenza, come la formazione sia l’unica arma efficace a disposizione delle aziende per evitare situazioni disastrose.