GitLab 寄釣魚信件測試員工資安意識，20% 員工未通過

• 發布日期：109-06-05
• 發布單位：刑事警察大隊

如果員工安全意識不足，無論企業系統的資安系統有多完善，都形同虛設。GitLab 最近測試所有員工對釣魚信件的警覺性，結果有 20% 員工上當，在假網站輸入資料。
GitLab 目前是完全在家上班模式，加上武漢肺炎疫情期間會有更多釣魚攻擊，資安團隊認為有必要測試員工的安全意識是否足夠，因此申請 gitlab.company 網域，再配合開源 GoPhish 框架和 Google G Suite「冒充」公司寄送釣魚信件，看起來就像 IT 部門通知大家電腦需要更新的公告信。
結果發現，有 34% 員工會點擊釣魚信裡的連結，20% 員工更不疑有他，在假網站輸入登入資訊，只有 12% 員工向安全部門回報。GitLab 安全總監 Johnathan Hunt 表示，一般公司的釣魚成功率約 30%~40%，GitLab 雖比較低，值得鼓勵，不過還是需要繼續資安訓練。不論是否在家工作，隨著越來越多使用遠距或雲端上班，用戶身分管理和多重認證已越來越重要。

參考網站：https://technews.tw/2020/05/27/gitlab-tried-phishing-its-own-work-from-home-staff/