סנטה דג 🖼️ mikkooja1977

בסוף שנה ארורה כמו 2020, כיף לקבל מהמעסיק אימייל שמודיע לך על בונוס חמוד, כמו זה שקיבלו עובדי גודדי:

ספק רישום הדומיינים הגדול בעולם, עם כ-80 מיליון דומיינים, הבטיח בונוס של 650$ לעובדים שיקליקו על הלינק של אזור מגוריהם וימלאו את הפרטים הנדרשים. הם קיבלו ארבעה ימים, ואזהרה שמי שלא יירשם בזמן יפסיד את הכסף.

500 העובדים שמילאו את הטופס לא קיבלו בונוס. במקומו, הם קיבלו נזיפה מהסיסו של גודדי, דמטריוס קאמז:

קיבלת את האימייל הזה כי נכשלת במבחן הדיוג שערכנו לאחרונה. יהיה עליך לעבור מחדש את הכשרת ההנדסה החברתית למודעות אבטחה.

הודעת הבונוס היתה למעשה הדמייה של דיוג, כך חשף ה-Copper Courier.

דיוג (פישינג, phishing) הוא נסיון להשיג מאנשים פרטים אישיים, ובהם לעתים שמות משתמש וסיסמאות, לצורך גניבת זהות, פריצה למערכות ממוחשבות וכדומה. הדייגנים עושים שימוש בהנדסה חברתית, כלומר מציאת חולשות אבטחה אצל בני אדם כדי לגרום להם לתת את המידע – למשל, הבטחה לכסף תמורת הקלקה על לינק ו/או מסירת פרטים אישיים. מה שגודדי עשו הוא הדמייה של דיוג לצורך בדיקת ערנות העובדים, מהלך שחברות אחראיות מבצעות מפעם לפעם כדי להטמיע נהלי אבטחת מידע בקרב העובדים.

כרשם הדומיינים הגדול בעולם, גודדי הם מטרה נחשקת להאקרים שרוצים להשתלט על דומיינים כווקטור לתקיפות שונות. בלוג הסייברסייבר של בראיין קרבז הזכיר כמה פריצות משמעותיות שגודדי ספגו השנה: במרץ, האקר ביצע דיוג-ממוקד טלפוני של נציג שירות לקוחות והסיט את התעבורה של אתר Escrow.com לכתובת איי.פי במלזיה; באפריל, החברה גילתה שפירצת אבטחה מאוקטובר 2019 (!) סיכנה חשבונות אחסון של 28 אלף לקוחות של החברה; ובנובמבר, האקרים דייגו מספר עובדים בגודדי והביאו להסטת תעבורה של מספר פלטפורמות לסחר בקריפטומטבעות. כך שהחשש של גודדי מפני דיוג אמיתי, והצורך באימון העובדים קריטי.

אלא שעם הפרסום, החברה חטפה ביקורת על הדרך שבה בוצע המהלך, עם חוסר הרגישות שבנפנוף בונוס שקרי מול העובדים, ובפרט בתקופת החגים ותחת הלחץ וחוסר הוודאות של המגיפה. זאת, רק חצי שנה אחרי שהחברה הודיעה על פיטורים/העברה מתפקיד של מאות עובדים במחלקת המכירות, בדיוק ברבעון שבו הודיעה על גידול שיא במספר הלקוחות.

בנוסף, האימייל נשלח מכתובת בדומיין של גודדי – [email protected] – אמנם לא דבר בלתי אפשרי לזיוף, אבל כזה שמגביר את תחושת האמינות. מצד שני, אפשר לטעון שעובדים צריכים להיזהר גם מאימיילים שמגיעים לכאורה מכתובת ששייכת למעסיק. ומצד שלישי – המעסיק, במיוחד גוף טכנולוגי גדול כמו גודדי – צריך לעצור אימיילים כאלו עוד לפני שהם מגיעים לעובדים.

דובר גודדי מסר לגיזמודו:

גודדי לוקחת מאוד ברצינות את אבטחת הפלטפורמה שלנו. אנחנו מבינים שחלק מהעובדים לא היו מרוצים מנסיון הדיוג וחשו שהוא היה לא רגיש, ועל כך התנצלנו. בעוד הבדיקה חיקתה נסיונות אמיתיים שנמצאים היום בשימוש, אנחנו צריכים להשתפר ולהיות יותר רגישים לעובדים שלנו.

החברה לא השיבה אם בכוונתה לפצות את העובדים באמצעות חלוקת הבונוס המובטח.

________________________
התפרסם במקור בפינה "האחראי על האינטרנט". 🖼️ mikkooja1977