2020/12/26

GoDaddy enganou funcionários com emails de phishing a prometer bónus

A GoDaddy pregou uma partida ingrata aos funcionários, enviando emails a prometer bónus - mas que eram apenas parte de um teste para avaliar se eram capazes de detectar um ataque de phishing.

O ano de 2020 tem sido uma desgraça a múltiplos níveis, pelo que quando os funcionários da GoDaddy viram um email a dizer que iriam receber um bónus de $650 este Natal, ficaram imediatamente agradecidos. Só que o agradecimento foi de curta duração, pois dias depois receberam novo email a dizer que afinal era apenas uma campanha de teste de phishing, e que eles tinham falhado o teste!

Sim, por um lado pode dizer-se que foi uma jogada de mestre e que é um exemplo perfeito de como uma campanha de phishing pode / deve ser feita para tirar o melhor partido das circunstâncias do momento - e nada melhor que um bónus natalício para fazer com que milhares de potenciais vítimas cliquem nos links fornecidos por atacantes, aproveitando a expectativa de decência do espírito natalício do seu empregador. Mas por outro lado, é de uma falta de sensibilidade tremenda.

Talvez ainda possam sair bem vistos neste teste, cumprindo com o bónus de $650 que tinham prometido inicialmente? :)

2 comentários:

  1. A empresa não precisa de ficar bem vista, aliás os empregados que falharam no teste devem ser demitidos no caso de lidarem com informações sensíveis e de este ataque pôr em risco os dados dos clientes, se em vez de ser a empresa a conduzir o ataque de phishing fosse um blackhat, os resultados poderiam ser graves e um blackhat só usa a sensibilidade para perceber quando é que as pessoas estão mais vulneráveis, tornando mais fácil o ataque.

    ResponderEliminar
  2. Do mail do príncipe nigeriano, ou do gestor bancário em Hong do general iraquiano que morreu sem deixar herdeiros, ou do presidente do banco do Abu Dhabi, o pessoal desconfia logo. Embora algumas burlas estejam bem elaboradas, com bancos verdadeiros, e troca de mails com informação que parece verídica. Só mais para o fim é que aparece "Envie fotocópia do seu passaporte como prova de boa fé", envie uma quantia, ou abra uma conta bancária no Abu Dhabi.
    Do phishing de que fala o post, de actualizações da conta da Apple ou de uma loja, ou de mais que usa minformação de contas hackeadas, grande parte não desconfia.

    A GoDaddy tem 7000 funcionários, caíram 500 dá à volta de 7 em cada 100. Era-lhes pedida informação pessoal para receberem o bónus e deram-na. Estou em crer que o que os precipitou foi ter que responder até 18 de dezembro, senão perdiam o bónus. Com a pressa não se pensa.
    Vão ter que fazer mais formação em segurança.
    https://www.businessinsider.com/godaddy-disguised-a-phishing-email-test-as-holiday-bonus-announcement-2020-12

    ResponderEliminar

[pub]