Quali sono i rischi reali di una campagna di phishing rivolta contro un’azienda? Quanti impiegati potrebbero essere raggirati da messaggi di posta elettronica veicolati con finalità malevole? Per rispondere a queste domande GitLab, una delle piattaforme più note per la gestione dei repository Git, ha deciso di dar vita ad una singolare sperimentazione.
Il test di sicurezza dell’azienda consisteva infatti nel produrre una compagna di phishing "fatta in casa" inviando email finalizzate alla sottrazione di dati ad un piccolo gruppo dei propri dipendenti, il fatto che molti di questi ultimi operassero in smart working avrebbe reso ancora più interessanti i risultati ottenuti data la maggiore autonomia decisionale a disposizione delle potenziali vittime.
Per rendere l’esperimento più efficace è stato registrato il nome a dominio "gitlab.company" e creato un account dedicato tramite GSuite, l’intenzione era quella di capire quanti collaboratori avrebbero ceduto le proprie credenziali d’accesso al sistema interno di GitLab credendo di leggere un messaggio proveniente dalla propria compagnia.
Nella maggioranza dei casi, il 66%, i dipendenti avrebbero reagito positivamente ignorando l’email e capendo che si trattava di un tentativo di phishing, mentre nel 14% dei casi avrebbero cliccato sul link presente nel messaggio credendo ad una richiesta di aggiornamento. Le credenziali sarebbero state cedute infine nel 20% dei casi.
Se l’attacco fosse stato reale non avrebbe potuto avere conseguenze in quanto i sistemi di autenticazione adottati da GitLab prevedono l’autenticazione a due fattori, lo scopo del test era però quello di comprendere quanto il comportamento umano rapprensenti ancora oggi un elemento fondamentale per garantire la sicurezza di un’infrastruttura tecnica.
