Suite à un test, 20 % des employés de Gitlab se font avoir par une attaque au phishing

Le phishing ou encore l’hameçonnage est une technique très connue dans le secteur de la cybercriminalité.

C’est littéralement et classique du genre, qui permet au cyber malveillant de récolter des informations sur des internautes imprudents.

Cet article va aussi vous intéresser : Une campagne de phishing contre les utilisateurs PayPal

Des informations qui peuvent souvent se révéler sensibles ou confidentiels. On pense notamment aux identifiants de connexion ou à toutes données qui permettent l’authentification d’une personne en particulier lors d’une quelconque connexion. Cette technique et souvent utilisé par le biais d’outils de messagerie dont les utilisateurs de services numériques ont tendance à le plus utilisé. Il pourrait s’agir par exemple de l’email tout simplement qui constitue à lui seul une grande majorité des campagnes de phishing. Il pourra aussi s’agir d’applications de messagerie classique tel que Messenger ou encore Whatsapp, ou tout simplement les SMS.

Pour réussir son coup, le cybercriminel enverra un message dans le but d’attirer l’internaute vers un site Web factice. Le message piège porte généralement sur une thématique courante telle que le covid-19 que nous vivons aujourd’hui, ou sont axés autour de jeux qui pourront permettre à la personne ciblée de gagner de l’argent. Si cette dernière manque par exemple de vigilance, et qu’elle clique sur le lien proposé dans les messages qui’il reçoit, elle sera rédigée vers un site qui est géré par les cybermalveillants. Ces derniers profiteront pour lui demander de remplir des formulaires qui leur permettront ensuite de récupérer les informations qui les intéressent. Stan Adkens, Notait à cet effet : « Les attaques de phishing sont conçues pour voler des identifiants ou pour tromper le destinataire afin qu’il télécharge ou exécute des pièces jointes dangereuses. C’est une technique utilisée par des fraudeurs qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance. »

Pour ceux qui nous intéresse dans cette histoire, notons tout simplement que l’entreprise GitLab a tendance à effectuer des tests d’hameçonnage sur son personnel employé chaque trimestre. Mais à chaque fois, le résultat obtenu donne l’impression qu’il est pratiquement impossible d’éradiquer ce phénomène. Le dernier test de la société remonte depuis la semaine dernière. Dans cette campagne de phishing, l’entreprise avait pour but en ciblant certains employés d’obtenir certaines informations telles que les identifiants gitlab.com. Les équipes ont été testée par des courriels reçus en trombe faisant passer pour une campagne de communication commerciale tout à fait normale. Et bien sûr certains se sont fait prendre par le jeu.

L’entreprise a signifié un fait important, l’objectif n’est pas du tout de punir les personnes qui ne suivent pas les mesures d’hygiène numérique convenablement, mais dans un certain sens les sensibiliser, leur montrer que la faille provient en grande partie d’eux, dans le but de les ramener sur le droit chemin. Cela y va de la sécurité de l’entreprise ensemble.

La simulation du phishing n’a pas pris en compte certains détails, qu’est-ce que le moyen de défense supplémentaire, notamment L’authentification à multiples facteurs. L’équipe de test a mis en ligne le domaine GitLab.company. Ils se sont servi de G Suite pour balancer les courriels corrompus. Les services et le nom de domaine utilisés dans ce contexte ont été configurés avec configuration SSL de sorte à donner l’image aux courriers comme étant des e-mails légitimes provenant de l’entreprise. GitLab a soulevé le fait que de telles infrastructures peuvent être mise en place par un cybermalveillant gratuitement et sans beaucoup trop d’efforts.

Sur cinquante employés ciblés lors de ce test, 17 se sont fait prendre par le piège. Ils ont malheureusement cliqué sur le lien proposé. À la suite de cet acte ils furent automatiquement redirigés vers un manuel conçu par GitLab pour sensibiliser contre l’hameçonnage. Les victimes seront alors encouragés à suivre des cours de formation ou de solliciter l’équipe de sécurité afin de leur prodiguer certaines recommandations pour que cela ne se reproduise pas. Par ailleurs, 6 de personnes ciblées ont signalé automatiquement le courrier comme étant malveillant après l’avoir reçu. Leur intuition sur la question a été la bonne.

L’exemple de GitLab sur ce test met en évidence un certain fait. L’hameçonnage reste toujours quelque chose difficile à combattre, voir éradiquer. Chris Rothe, le fondateur et chef produit de Red Canary, une société spécialisée dans la détection de menace notait un peu près observation : « Le phishing est un excellent exemple de quelque chose qui ne peut pas être totalement empêché (…) Parce que le courrier électronique est une fonction commerciale essentielle, il doit être optimisé pour sa fonction commerciale et non pour la sécurité dans la plupart des cas. Il existe de nombreuses stratégies que les équipes informatiques peuvent utiliser pour réduire le nombre d’attaques de phishing réussies – blocage des e-mails, dépouillement et analyse des pièces jointes, formation de sensibilisation –, mais il n’existe pas de solution à 100 % ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage