GitLab为了解自家员工对于钓鱼攻击的敏感程度,于是由红队向在家工作的员工,发动钓鱼攻击测试,但结果不甚理想,有五分之一的员工成功被骗走GitLab.com登录资料,而且只有6人向安全团队回应,因此未来安全团队除了会加强与其他成员沟通之外,也会每季举办钓鱼测试。
网络钓鱼是通过伪造的登录页面,收集身份验证登录资料的攻击,GitLab提到,这个测试的目的,是要针对GitLab团队成员进行针对性的网络钓鱼,目标是要获得GitLab.com凭证。在这次的钓鱼攻击演练中,红队利用域名gitlab.company,并且使用GSuite发送钓鱼邮件,而域名和GSuite服务的设置,则使用数字签名DKIM以及合法的SSL凭证等最佳方法配置,这使得无论是自动钓渔网站侦测还是人工检查,都难以发现其可疑之处,而任何攻击者都能以非常低的成本,构建这种看起来合法的基础架构。
练习用的网络钓鱼框架,红队选用开源的GoPhish项目,GoPhish是个可高度自定义的框架,内置关注和捕捉网络钓鱼活动回应的功能,红队并将其托管在GCP基础设施中的小型Linux系统中。
这次红队随机挑选了50个GitLab团队成员,作为网络钓鱼的目标,他们设计了一封电子邮件,内容是GitLab IT部门所提供的笔记本升级方案,要求团队成员点击连接进行升级,连接是在gitlab.company域名上托管的伪造GitLab.com登录页面。
在这次的演练测试中,红队设立的目标,只要能获取电子邮件地址或是账户名称就算钓鱼成功,在50个网络钓鱼电子邮件中,共有17个收件人点击了电子邮件中的连接,而这17个人中有10个人,尝试在伪造的网站中登录,输入登录资料的成员,会被重定向到GitLab手册中。总共只有6个收件者,将电子邮件回应给安全团队。
电子邮件中有许多线索,可作为团队成员发现钓鱼攻击的线索,包括电子邮件地址it-ops@gitlab.company并不在合法的gitlab.com域名中,而且邮件内容所提供的笔记本更新,是比大多数用户所拥有笔记本还旧的型号。红队提到,使用相似的域名,是针对性网络钓鱼攻击常用的技术,而且信中微小的事实错误,通常是非法来源的指标,而且信中没有提供第二个联系方法,像是Slack或公司电话等辅助通信方法,另外,用户也可以从电子邮件标头细节,查看更多的线索。
红队除了建议团队成员,多浏览GitLab手册中网络钓鱼攻击的章节之外,由于过少的成员向安全团队回应钓鱼攻击,因此安全团队会加强和团队成员的沟通,每季也会对其他抽样群体进行额外的钓鱼演练。