{"id":232072,"date":"2020-05-26T00:14:21","date_gmt":"2020-05-25T22:14:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232072"},"modified":"2020-05-26T00:16:12","modified_gmt":"2020-05-25T22:16:12","slug":"phishing-experiment-bei-gitlab-20-fielen-darauf-herein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/26\/phishing-experiment-bei-gitlab-20-fielen-darauf-herein\/","title":{"rendered":"Phishing-Experiment bei GitLab: 20% fielen darauf herein"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Bei einem Phishing-Experiment mit GitLab-Team-Mitgliedern hat man herausgefunden, dass 20 % der Leute auf entsprechende Versuche hereingefallen sind. Vielleicht nachdenkenswert f\u00fcr die Fraktion der 'wie kann man nur so bl\u00f6d sein, kein Mitleid'-Anh\u00e4nger.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/c56b06d1f70d424ba9063c9095118645\" width=\"1\" height=\"1\"\/>Es ist ein interessanter Test, den ein Red-Team bei GitLab durchgef\u00fchrt hat. Ein Red-Team ist ja eine Gruppe, die Penetrationsversuche unternimmt, w\u00e4hrend das Blue-Team versucht, diese Angriffe abzuwehren. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">GitLab ran a phishing experiment and a fifth of employees fell for it<a href=\"https:\/\/t.co\/7vQD73dvfv\">https:\/\/t.co\/7vQD73dvfv<\/a> <a href=\"https:\/\/t.co\/vAEtgCaCet\">pic.twitter.com\/vAEtgCaCet<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1264673528370118658?ref_src=twsrc%5Etfw\">May 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Ich bin \u00fcber obigen Tweet auf die Auswertung, die <a href=\"https:\/\/gitlab.com\/gitlab-com\/gl-security\/gl-redteam\/red-team-tech-notes\/-\/tree\/master\/RT-011%20-%20Phishing%20Campaign\" target=\"_blank\" rel=\"noopener noreferrer\">auf GitLab ver\u00f6ffentlicht<\/a> wurde, aufmerksam geworden. Ziel dieser \u00dcbung war die Nachahmung einer gezielten Phishing-Kampagne (aka Spear Phishing) gegen GitLab-Teammitglieder. Die Absicht war, die Anmeldedaten von GitLab.com abzugreifen. Bei dieser \u00dcbung des Red Teams blieben zus\u00e4tzlich m\u00f6gliche Abwehrma\u00dfnahmen wie die Multi-Faktor-Authentifizierung unber\u00fccksichtigt. Vielmehr wurde sich im Phishing-Test auf grundlegende Phishing-Angriffe zum Abfischen prim\u00e4rer Authentifizierungsdaten \u00fcber eine gef\u00e4lschte Anmeldeseite konzentriert.<\/p>\n<h2>Die Infrastruktur und der Test<\/h2>\n<p>F\u00fcr diese \u00dcbung registrierte das Red Team den Dom\u00e4nennamen <em>gitlab.company <\/em>und konfigurierte ihn so, dass er GSuite zur Erleichterung der Zustellung der Phishing-E-Mail verwendet. Der Domainname und GSuite-Dienste wurden nach Best Practice-Verfahren eingerichtet, wie z. B. die Konfiguration von E-Mails f\u00fcr die Verwendung von DKIM und den Erhalt legitimer SSL-Zertifikate. Dadurch sah die Domain, von der die Mails versandt wurden, f\u00fcr die automatische Erkennung von Phishing-Websites und f\u00fcr menschliche Inspektionen weniger verd\u00e4chtig aus. <\/p>\n<p>Diese legitim aussehende Infrastruktur kann von einem Angreifer sehr billig und in einigen F\u00e4llen kostenlos eingerichtet werden. Das f\u00fcr diese \u00dcbung eingesetzte Phishing-Framework, ist ein Open-Source-Projekt namens GoPhish. Die Pentester haben das Tool auf einem kleinen Linux-System in unserer GCP-Infrastruktur gehostet. GoPhish bietet ein flexibles Framework, das in hohem Ma\u00dfe anpassbar ist und \u00fcber integrierte Funktionen zur Verfolgung und Erfassung von Reaktionen auf Phishing-Kampagnen verf\u00fcgt.<\/p>\n<p>F\u00fcr den Test wurden 50 GitLab-Teammitglieder nach dem Zufallsprinzip als Ziele der Phishing-E-Mail ausgesucht. Die E-Mail, siehe Screenshot, wurde so gestaltet, dass sie den Anschein erweckt, ein legitimes Laptop-Upgrade-Angebot der IT-Abteilung von GitLab zu sein. <\/p>\n<p><a href=\"https:\/\/gitlab.com\/gitlab-com\/gl-security\/gl-redteam\/red-team-tech-notes\/-\/raw\/master\/RT-011%20-%20Phishing%20Campaign\/data\/RedTeamPhishEmailMay2020.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Phishing-Mail\" alt=\"Phishing-Mail\" src=\"https:\/\/gitlab.com\/gitlab-com\/gl-security\/gl-redteam\/red-team-tech-notes\/-\/raw\/master\/RT-011%20-%20Phishing%20Campaign\/data\/RedTeamPhishEmailMay2020.png\" width=\"615\" height=\"347\"\/><\/a><br \/>(Phishing-Mail, Quelle: GitLab)<\/p>\n<p>Die Zielpersonen wurden gebeten, auf einen Link zu klicken, um ihr Upgrade zu akzeptieren. Dieser Link f\u00fchrte auf eine gef\u00e4lschte Anmeldeseite von GitLab.com, die auf der Domain \"gitlab.company\" gehostet wurde. Mit einer solchen Fake-Seite w\u00e4re ein Angreifer in der Lage, sowohl den Benutzernamen als auch das Passwort, die Besucher auf der gef\u00e4lschten Seite eingeben, abzugreifen. <\/p>\n<h2>Erschreckende Ergebnisse<\/h2>\n<p>Von den 50 zugestellten Phishing-E-Mails wurde von 17 Empf\u00e4ngern auf den angegebenen Link geklickt. Und von diesen 17 Personen versuchten sich 10 auf der gef\u00e4lschten Website zu authentifizieren. Nur 6 Empf\u00e4nger meldeten die verd\u00e4chtige E-Mail dem SecOps. Diejenigen, die ihre Anmeldedaten eingaben, wurden dann auf das <a href=\"https:\/\/about.gitlab.com\/handbook\/security\/#phishing-tests\" target=\"_blank\" rel=\"noopener noreferrer\">GitLab-Handbuch<\/a> umgeleitet. <\/p>\n<p>Auch wenn der Stichprobenumfang mit 50 Mitgliedern recht klein ist, fielen 20 % der Leute auf den Phishing-Versuch herein. Und ich gehe mal davon aus, dass die ausgew\u00e4hlten GitLab-Nutzer alles Computer-affine Leute waren. Wenn diese schon auf so etwas hereinfallen, sollten bei Sicherheitsverantwortlichen alle Alarmglocken schrillen. Wahrscheinlich bleibt nichts anderes \u00fcbrig, als im Unternehmensumfeld auf Zweifaktor-Authentifizierung mit Security Keys umzustellen. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/04\/google-titan-security-keys-made-in-china\/\">Google Titan Security Keys \u2013 Made in China<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/10\/16\/google-gibt-aktualisierten-usb-c-titan-security-key-frei\/\">Google gibt aktualisierten USB-C Titan Security Key frei<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2020\/02\/20\/googles-titan-security-keys-in-deutschland-erhltlich\/\">Googles Titan Security Keys in Deutschland erh\u00e4ltlich<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/05\/16\/sicherheitsproblem-in-googles-titan-security-keys\/\">Sicherheitsproblem in Googles Titan Security Keys<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/04\/01\/firefox-und-edge-untersttzen-hardware-login\/\">Firefox und Edge: Google-Konten unterst\u00fctzen Hardware-Login<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/02\/27\/android-erhlt-fido2-zertifizierung\/\">Android erh\u00e4lt FIDO2-Zertifizierung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei einem Phishing-Experiment mit GitLab-Team-Mitgliedern hat man herausgefunden, dass 20 % der Leute auf entsprechende Versuche hereingefallen sind. Vielleicht nachdenkenswert f\u00fcr die Fraktion der 'wie kann man nur so bl\u00f6d sein, kein Mitleid'-Anh\u00e4nger.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-232072","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232072"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232072\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}