Nem mesmo empresas que deveriam ser exemplo em boas práticas de segurança cibernética estão livres de ter, em seu quadro de colaboradores, indivíduos que ainda não saibam identificar uma ameaça cibernética. A mais nova prova disso é que a equipe de red team da GitLab, empresa responsável pela plataforma homônima de soluções de repositório de software, realizou um teste de phishing com 50 de seus colaboradores — e 20% deles caíram no golpe, cedendo suas informações de login e senha.
O exercício, que foi aplicado na última quarta-feira (20), simulou uma campanha maliciosa personificando a própria equipe de TI da companhia. O email, disparado pelo domínio “gitlab.company”, afirma que o funcionário foi escolhido para receber um upgrade de seu equipamento de trabalho. Bastaria clicar em um link e fazer login com suas credenciais para receber um MacBook Pro novinho de 15 polegadas, modelo 2019, com processador Intel Core i9 e 16 GB de memória RAM. Uma oferta tentadora.
Dos 50 colaboradores testados, 17 deles clicaram no link, sendo que 10 deles informaram seu login e a sua senha. Embora tal amostragem pareça inofensiva, ainda trata-se de uma porcentagem razoavelmente alta para uma empresa que possui uma estratégia bem-definida de segurança da informação. Também é preocupante saber que, de todos os alvos que receberam a campanha, apenas seis pessoas reportaram o email como uma possível ameaça à equipe de SI da GitLab.
Coincidentemente, o relatório 2020 Data Breach Investigations Report, divulgado recentemente pela Verizon, aponta que tal estatística está dentro da média global — o phishing foi responsável por um quarto de todos os vazamentos de dados reportados ao longo de 2019. Esses números apenas mostram que a conscientização do fator humano continua sendo algo determinante para proteger os ativos de informação no âmbito corporativo.
Fonte: SiliconANGLE, GitLab