GitLab 寄釣魚信件測試員工資安意識,20% 員工未通過

作者 | 發布日期 2020 年 05 月 27 日 7:30 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


如果員工安全意識不足,無論企業系統的資安系統有多完善,都形同虛設。GitLab 最近測試所有員工對釣魚信件的警覺性,結果有 20% 員工上當,在假網站輸入資料。

GitLab 目前是完全在家上班模式,加上武漢肺炎疫情期間會有更多釣魚攻擊,資安團隊認為有必要測試員工的安全意識是否足夠,因此申請 gitlab.company 網域,再配合開源 GoPhish 框架和 Google G Suite「冒充」公司寄送釣魚信件,看起來就像 IT 部門通知大家電腦需要更新的公告信。

結果發現,有 34% 員工會點擊釣魚信裡的連結,20% 員工更不疑有他,在假網站輸入登入資訊,只有 12% 員工向安全部門回報。GitLab 安全總監 Johnathan Hunt 表示,一般公司的釣魚成功率約 30%~40%,GitLab 雖比較低,值得鼓勵,不過還是需要繼續資安訓練。不論是否在家工作,隨著越來越多使用遠距或雲端上班,用戶身分管理和多重認證已越來越重要。

(本文由 Unwire Pro 授權轉載;首圖來源:Flickr/Automobile Italia CC BY 2.0)