Bei einem Phishing-Experiment mit GitLab-Team-Mitgliedern hat man herausgefunden, dass 20 % der Leute auf entsprechende Versuche hereingefallen sind. Vielleicht nachdenkenswert für die Fraktion der 'wie kann man nur so blöd sein, kein Mitleid'-Anhänger.
Anzeige
Es ist ein interessanter Test, den ein Red-Team bei GitLab durchgeführt hat. Ein Red-Team ist ja eine Gruppe, die Penetrationsversuche unternimmt, während das Blue-Team versucht, diese Angriffe abzuwehren.
GitLab ran a phishing experiment and a fifth of employees fell for ithttps://t.co/7vQD73dvfv pic.twitter.com/vAEtgCaCet
— Catalin Cimpanu (@campuscodi) May 24, 2020
Ich bin über obigen Tweet auf die Auswertung, die auf GitLab veröffentlicht wurde, aufmerksam geworden. Ziel dieser Übung war die Nachahmung einer gezielten Phishing-Kampagne (aka Spear Phishing) gegen GitLab-Teammitglieder. Die Absicht war, die Anmeldedaten von GitLab.com abzugreifen. Bei dieser Übung des Red Teams blieben zusätzlich mögliche Abwehrmaßnahmen wie die Multi-Faktor-Authentifizierung unberücksichtigt. Vielmehr wurde sich im Phishing-Test auf grundlegende Phishing-Angriffe zum Abfischen primärer Authentifizierungsdaten über eine gefälschte Anmeldeseite konzentriert.
Die Infrastruktur und der Test
Für diese Übung registrierte das Red Team den Domänennamen gitlab.company und konfigurierte ihn so, dass er GSuite zur Erleichterung der Zustellung der Phishing-E-Mail verwendet. Der Domainname und GSuite-Dienste wurden nach Best Practice-Verfahren eingerichtet, wie z. B. die Konfiguration von E-Mails für die Verwendung von DKIM und den Erhalt legitimer SSL-Zertifikate. Dadurch sah die Domain, von der die Mails versandt wurden, für die automatische Erkennung von Phishing-Websites und für menschliche Inspektionen weniger verdächtig aus.
Anzeige
Diese legitim aussehende Infrastruktur kann von einem Angreifer sehr billig und in einigen Fällen kostenlos eingerichtet werden. Das für diese Übung eingesetzte Phishing-Framework, ist ein Open-Source-Projekt namens GoPhish. Die Pentester haben das Tool auf einem kleinen Linux-System in unserer GCP-Infrastruktur gehostet. GoPhish bietet ein flexibles Framework, das in hohem Maße anpassbar ist und über integrierte Funktionen zur Verfolgung und Erfassung von Reaktionen auf Phishing-Kampagnen verfügt.
Für den Test wurden 50 GitLab-Teammitglieder nach dem Zufallsprinzip als Ziele der Phishing-E-Mail ausgesucht. Die E-Mail, siehe Screenshot, wurde so gestaltet, dass sie den Anschein erweckt, ein legitimes Laptop-Upgrade-Angebot der IT-Abteilung von GitLab zu sein.
(Phishing-Mail, Quelle: GitLab)
Die Zielpersonen wurden gebeten, auf einen Link zu klicken, um ihr Upgrade zu akzeptieren. Dieser Link führte auf eine gefälschte Anmeldeseite von GitLab.com, die auf der Domain "gitlab.company" gehostet wurde. Mit einer solchen Fake-Seite wäre ein Angreifer in der Lage, sowohl den Benutzernamen als auch das Passwort, die Besucher auf der gefälschten Seite eingeben, abzugreifen.
Erschreckende Ergebnisse
Von den 50 zugestellten Phishing-E-Mails wurde von 17 Empfängern auf den angegebenen Link geklickt. Und von diesen 17 Personen versuchten sich 10 auf der gefälschten Website zu authentifizieren. Nur 6 Empfänger meldeten die verdächtige E-Mail dem SecOps. Diejenigen, die ihre Anmeldedaten eingaben, wurden dann auf das GitLab-Handbuch umgeleitet.
Auch wenn der Stichprobenumfang mit 50 Mitgliedern recht klein ist, fielen 20 % der Leute auf den Phishing-Versuch herein. Und ich gehe mal davon aus, dass die ausgewählten GitLab-Nutzer alles Computer-affine Leute waren. Wenn diese schon auf so etwas hereinfallen, sollten bei Sicherheitsverantwortlichen alle Alarmglocken schrillen. Wahrscheinlich bleibt nichts anderes übrig, als im Unternehmensumfeld auf Zweifaktor-Authentifizierung mit Security Keys umzustellen.
Ähnliche Artikel:
Google Titan Security Keys – Made in China
Google gibt aktualisierten USB-C Titan Security Key frei
Googles Titan Security Keys in Deutschland erhältlich
Sicherheitsproblem in Googles Titan Security Keys
Firefox und Edge: Google-Konten unterstützen Hardware-Login
Android erhält FIDO2-Zertifizierung
Anzeige
Das zeigt doch nur ganz offensichtlich erkennbar das eigentliche Problem:
Es wird/werden lieber in wahnwitziger Menge und Weise Ressourcen für die Konsequenzenbehebung "geopfert", anstatt die eigentliche Ursache zu minimieren und die Menschen frühzeitig für den sorgsamen Umgang mit Daten zu sensibilisieren und auszubilden.
Und der Anwender denkt sich: "Da passen ja schon andere drauf auf und regeln das, mir kann nix passieren! Warum soll ich da was machen?" und entfernt sich ganz unbedarft von jeglicher Eigenverantwortung und -initiative.
Bei so viel brachliegender Gehirnmasse hab' ich dann aber auch kein Mitleid!
Wir haben so ein E-Mail Phishing als Teil einer Awareness Kampagne vor zwei Jahren in der Firma durchführen lassen, mit einer fünfstelligen Anzahl von Benutzern, die Ergebnisse waren ernüchternd. Sowohl im Gesamtergebnis, als auch für jeden einzelnen einer großen Anzahl von IT-Profis, die der Hybris erlegen waren, solche Angriffe zu durchschauen. Erfolgreiches Phising funktionert, weil es sich unter der Wahrnehmungsschwelle in Routineaufgaben versteckt.
Linus Neumann hat einen interessanten Talk über menschliche Faktoren der IT Sicherheit auf dem 36C3 gehalten, einfach mal anschauen:
https://media.ccc.de/v/36c3-11175-hirne_hacken