IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 238
    Points
    125 238
    Par défaut GitLab effectue un test de phishing sur ses employés, et 20 % d'entre eux ont donné leurs identifiants
    La société GitLab effectue un test de phishing sur ses employés,
    Et 20 % d'entre eux ont donné leurs identifiants


    Les attaques de phishing sont conçues pour voler des identifiants ou pour tromper le destinataire afin qu'il télécharge ou exécute des pièces jointes dangereuses. C’est une technique utilisée par des fraudeurs qui consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance. La société GitLab effectue des tests d'hameçonnage de routine au moins une fois par trimestre. Mais les résultats pourraient faire croire que le phishing se classe parmi les choses qu’on ne peut pas définitivement empêcher.

    Lors de son dernier test effectué la semaine dernière, GitLab a imité une campagne de phishing contre certains de ses employés avec l'intention de capturer les identifiants GitLab.com. Tous les membres de l'équipe peuvent occasionnellement recevoir des courriels qui sont conçus pour ressembler à des communications commerciales légitimes, mais qui seront en réalité des attaques de phishing simulées. L'objectif de ces campagnes n'est pas de punir les personnes qui cliquent sur des liens dangereux, mais plutôt d'amener les employés à réfléchir à la sécurité et aux techniques utilisées par les attaquants par courrier électronique pour piéger les victimes et les amener à exécuter des logiciels malveillants ou à divulguer des mots de passe Web.

    Nom : git.png
Affichages : 37657
Taille : 10,4 Ko

    Pour cet exercice, selon la société, des moyens de défense supplémentaires tels que l'authentification multifactorielle n'ont pas été pris en compte ou n'ont pas fait partie du test. La fausse attaque de phishing étant conçue pour imiter une attaque de base se concentrant sur les justificatifs d'authentification primaire via une fausse page de connexion, d’après la société.

    L'équipe à l'origine de l'exercice a acheté le nom de domaine gitlab.company, puis a utilisé G Suite pour faciliter l'envoi du courriel de phishing. Le nom de domaine et les services G Suite ont été configurés de manière à paraître légitimes, avec des certificats SSL pour que les courriels paraissent moins suspects lors de la détection automatisée des sites de phishing et de l'inspection humaine. Selon GitLab, cette infrastructure d'apparence légitime peut être mise en place par un attaquant à très bas prix et dans certains cas gratuitement.

    Dans le cadre de son dernier exercice de phishing, la société dit avoir utilisé un projet open source connu sous le nom de GoPhish, et avoir hébergé l'outil sur un petit système Linux dans son infrastructure cloud. Cinquante employés de l’équipe GitLab ont été visés au hasard par un courriel leur demandant de cliquer sur un lien pour accepter une mise à niveau. Le lien les conduisait sur une fausse page de connexion GitLab.com hébergée sur le domaine gitlab.company où il leur était demandé d'entrer leurs identifiants de connexion.

    Dix-sept cibles sur cinquante ont cliqué sur le lien "malveillant" fourni

    Dix-sept membres de l’équipe sur les cinquante ont cliqué sur le lien test (malveillant) fourni. Dix de ces dix-sept personnes sont allées plus loin en tentant de se connecter sur le faux site Web. Ceux qui se sont connectés sur le faux site ont ensuite été redirigés vers la section du manuel du GitLab consacrée aux tests de phishing. La société exhorte les victimes de l’une des attaques simulées de suivre à nouveau les cours de formation ou de demander à l'équipe de sécurité de leur donner plus d'informations sur ce qui aurait pu être fait pour reconnaître l'attaque.

    La bonne nouvelle est que certains employés sont assez sensibilisés aux attaques par phishing. Six des cinquante employés qui ont reçu le faux courriel de phishing ont signalé le courriel comme étant suspect à l'équipe des opérations de sécurité de GitLab.

    Nom : git03.png
Affichages : 5489
Taille : 37,1 Ko

    Ce chiffre de 20 % correspond à peu près aux prévisions de l'industrie. L’édition 2020 du rapport « Data Breach Investigations » de Verizon publié en début de la semaine dernière a révélé que le phishing était impliqué dans près d'un quart des violations.

    Le rapport d'enquête sur les atteintes à la sécurité des données a analysé des données basées sur 32 002 incidents de sécurité et 3950 atteintes confirmées dans 81 pays. Selon le rapport, les possibilités de gains financiers sont plus que jamais à l'origine des cyberattaques, motivant 86 % des violations de données aujourd'hui contre 71 % l'année dernière. 43 % des violations sont des attaques sur des applications Web, soit plus du double des résultats de l'année dernière.

    Selon son classement Phishers' Favorites du quatrième trimestre 2019 publié le 11 février, Vade Secure, société française spécialisée dans la défense prédictive de la messagerie, PayPal est arrivé en tête pour le deuxième trimestre consécutif en tant que marque la plus ciblée par les attaques d'hameçonnage. Avec 11 392 URL de phishing uniques détectées au quatrième trimestre 2019, la marque s’est classée devant Facebook (9795 URL uniques identifiées) et Microsoft (8565 URL uniques détectées).

    « Le phishing est un excellent exemple de quelque chose qui ne peut pas être totalement empêché », a déclaré dans un communiqué Chris Rothe, cofondateur et chef de produit de la société de détection des menaces Red Canary Inc. « Parce que le courrier électronique est une fonction commerciale essentielle, il doit être optimisé pour sa fonction commerciale et non pour la sécurité dans la plupart des cas. Il existe de nombreuses stratégies que les équipes informatiques peuvent utiliser pour réduire le nombre d'attaques de phishing réussies – blocage des e-mails, dépouillement et analyse des pièces jointes, formation de sensibilisation –, mais il n'existe pas de solution à 100 % », a-t-il ajouté.

    Nom : git02.png
Affichages : 5391
Taille : 43,8 Ko

    Toutefois, selon GitLab, les cibles du test de phishing auraient pu identifier qu'il s'agissait d'un e-mail de phishing pour plusieurs raisons :

    • L'adresse électronique était it-ops@gitlab.company - pas une adresse légitime de gitlab.com. GitLab en a conclu que les noms de domaine à consonance similaire sont une technique courante utilisée dans les campagnes de phishing ciblées.
    • L'e-mail fait référence à un modèle de Macbook Pro plus ancien que celui dont disposent déjà la plupart des utilisateurs. De subtiles erreurs factuelles sont souvent des indicateurs d'une source illégitime.
    • Aucun autre moyen de communication secondaire, comme Slack ou un appel d'entreprise, n’a annoncé aucune mise à niveau des ordinateurs portables.
    • Les détails de l'en-tête du message électronique dans Gmail peuvent être consultés pour donner des indices spécifiques quant aux méthodes par lesquelles le courriel a été généré. Des mots clés tels que "phish" et de multiples références au domaine de premier niveau illégitime gitlab.company sont des indicateurs clés qui pouvaient attirer l’attention des employés.
    • Le site Web sur lequel le lien envoyait les cibles aurait pu être considéré comme suspect sur la base des éléments tels que l’URL affichée dans la barre du navigateur qui était https://gitlab.company/xxxxxx.

    Pour un commentateur qui fait de l'Infosec, les résultats du test de GitLab sont loin d'être surprenants. « La plupart des entreprises obtiennent un score de 10 à 30 %, selon la difficulté du test d'hameçonnage », a-t-il écrit. « Notre équipe Infosec publie régulièrement des e-mails de test de phishing et nous a dit que ce sont généralement les travailleurs non informaticiens qui se font prendre (20 à 30 %). Cela ne veut pas dire qu'ils n'attrapent pas les informaticiens (entre 1 et 5 % de nos informaticiens se font prendre)», a écrit un autre commentateur. Et vous, pensez-vous que ça serait pareil dans votre entreprise ?


    Source : GitLab

    Et vous ?

    Que pensez-vous des résultats du test de phishing de la société GitLab ?
    Pensez-vous que ça serait pareil dans votre entreprise ?
    Avez-vous déjà participé à pareil exercice ? Partagez votre expérience.

    Lire aussi

    PayPal a été la marque la plus ciblée par des attaques de phishing au quatrième trimestre 2019, d'après le classement établi par Vade Secure
    La moitié des sites de phishing sont en HTTPS, alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime
    Au moins 400 entreprises industrielles victimes d'attaques d'hameçonnage à des fins financières, depuis octobre 2017, d'après Kaspersky Lab
    Les développeurs de logiciels sont des cibles de choix pour les attaques d'hameçonnage, selon un rapport de Glasswall

  2. #2
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Il aurait été intéressant de se poser la question du pourquoi les employés ont cliqué sur le lien. Personellement, les liens de phishing, si ils ne portent pas une information de backtracking validant mon adresse email, c'est un peu mon petit plaisir d'aller les visiter et d'y rentrer des identifiants pourris pour grossir leur DB et regarder jusqu'où ils essaient de me faire croire que je suis loggué Je demande dans quelle catégorier je me serais retrouvé relégué.

  3. #3
    Inactif  
    Homme Profil pro
    Lycéen
    Inscrit en
    Septembre 2019
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Lycéen
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2019
    Messages : 67
    Points : 242
    Points
    242
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    Il aurait été intéressant de se poser la question du pourquoi les employés ont cliqué sur le lien. Personellement, les liens de phishing, si ils ne portent pas une information de backtracking validant mon adresse email, c'est un peu mon petit plaisir d'aller les visiter et d'y rentrer des identifiants pourris pour grossir leur DB et regarder jusqu'où ils essaient de me faire croire que je suis loggué Je demande dans quelle catégorier je me serais retrouvé relégué.
    Je fais systématiquement exactement la même chose. Qu'est ce qu'on se marre parfois! Ca donne presque envie de se lancer dans le pishing pour faire des trucs beaucoup mieux et crédibles que les trucs nuls habituels et ainsi relever le niveau.

  4. #4
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    908
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 908
    Points : 3 884
    Points
    3 884
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    Personellement, les liens de phishing, si ils ne portent pas une information de backtracking validant mon adresse email, c'est un peu mon petit plaisir d'aller les visiter
    Moi j'évite parce qu'existent les failles 0 day et les kits d'exploit. Ou très rarement par curiosité dans une VM ou sandbox si le courriel est très bien fait (parfois c'est quasi parfait).
    Moins d'une fois par an, je reçois un virus dans ces courriels qui passent à travers toutes les détections, avec du code obfusqué.

    Mon avis, c'est qu'il manque la volonté technique de lutter contre le phishing au lieu de dire que c'est inévitable. On pourrait :
    1. avoir un client courriel qui contient nativement des clés publiques des organismes validés
    2. les organismes n'envoient que du courrier signé (ils font ça chez proton mail)
    3. si un courriel contient le nom de l'organisme ou quelque chose qui y ressemble (c'est la limite, en effet on arrivera pas à 100%), le client devrait envoyer une alerte à l'utilisateur pour débloquer les liens.

    De même le navigateur devrait avertir des url contenant des noms de compagnies avec un certificat inconnu.

  5. #5
    Membre éclairé
    Profil pro
    maçon
    Inscrit en
    Novembre 2004
    Messages
    277
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : Novembre 2004
    Messages : 277
    Points : 726
    Points
    726
    Par défaut
    L'adresse électronique était it-ops@gitlab.company - pas une adresse légitime de gitlab.com. GitLab en a conclu que les noms de domaine à consonance similaire sont une technique courante utilisée dans les campagnes de phishing ciblées.
    ****
    Le site Web sur lequel le lien envoyait les cibles aurait pu être considéré comme suspect sur la base des éléments tels que l’URL affichée dans la barre du navigateur qui était https://gitlab.company/xxxxxx.
    Je trouve leurs conclusions un peu facile car par exemple qd vous recevez un email de suivi de colis de la part de colissimo le lien de suivi est du genre :http://eservices-laposte.fr/tr/xxxxxxx et non pas la http://www.laposte.fr
    C'est la même chose lorsque l'on paye en ligne l'url n'a rien à voir avec le site d'origine , ou celui de votre banque .
    Moi je trouve que 20% c'est plutôt bas car leur pseudo phishing était mieux conçu que la plupart des vrais phishing que l'on reçoit dans nos B.A.L

  6. #6
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    Avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : Avril 2014
    Messages : 2 324
    Points : 2 015
    Points
    2 015
    Billets dans le blog
    1
    Par défaut
    J'ai presque failli me laisser prendre il y a quelques temps par un phishing. Je ne me souviens plus du contexte mais c'était plutôt malin et fourbe, il avait vraiment fallu que je cherche pour trouver qu'il n'était pas légitime. Même avec de très bonnes connaissances on n'est jamais à l'abri.

  7. #7
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 130
    Points
    28 130
    Par défaut
    On n'est jamais à l'abri, mais 20% semble un peu élevé néanmoins, je pense que cette entreprise a des formations à prévoir.

    Mais au moins ils font le test, et le font suffisamment bien pour que les gens se laissent prendre. D'autres entreprises envoient des mails du genre "Je sui le Pdg et jè besoin que tu fasses un virement de $20000000000 pour un client, C urgent", et sont très content car 0% des gens font le virement...

  8. #8
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2019
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Septembre 2019
    Messages : 5
    Points : 12
    Points
    12
    Par défaut
    Avec Thunderbird c'est plus simple de voir les arnaques de ce genre en général.

    sinon pour ceux qui sont surpris pour le niveau du message, il faut rappeler que l'opération reproduit une une attaque ciblée, comme le dit l'article, comme il pourrait être fait par des hackers connaissant les adresses mails des développeurs, et non du phishing aléatoire comme nous le recevons habituellement.

  9. #9
    Invité
    Invité(e)
    Par défaut
    GITLAB, c'est bien la boite qui n'a (presque) plus de locaux ?
    https://www.wedemain.fr/Teletravail-...eau_a3662.html
    TRAVAILLER DEMAIN
    Télétravail : Cette entreprise qui cartonne a dit ciao au bureau
    Gitlab, une jeune Licorne de la Tech valorisée à plus d'un milliard de dollars, a fait le choix radical de se passer de locaux propres. Ses 350 employés travaillent… où bon leur semble.
    Par Christelle Granja I Publié le 9 Décembre 2019

    Ah LOL, mais LOL quoi. Au sein d'une structure collective, la réaction n'est pas la même. Quand dans mon équipe on recevait ce genre de mail de test de réaction au ameçonnage, ça ne passait pas inaperçu, on était tous vite au courant, avant de le recevoir (car il n'était pas envoyé en masse au même moment à tous les "testés"...).

Discussions similaires

  1. Réponses: 16
    Dernier message: 29/07/2017, 14h41
  2. Réponses: 2
    Dernier message: 07/08/2009, 17h28
  3. effectuer un test sur deux champ
    Par patmar83 dans le forum VBA Access
    Réponses: 2
    Dernier message: 25/04/2009, 23h45
  4. Réponses: 3
    Dernier message: 14/04/2008, 18h33
  5. Réponses: 2
    Dernier message: 18/01/2008, 16h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo