500 сотрудников GoDaddy провалили фишинговый тест — они получили письмо с обещанием финансовой помощи в $650 Статьи редакции
Пользователи интернета сочли тест жестоким, компании пришлось извиниться перед сотрудниками.
Компания GoDaddy, регистрирующая доменные имена, 14 декабря разослала своим сотрудникам по электронной почте письма с предложением финансовой помощи: праздничного бонуса в $650, пишет Copper Courier. Письмо оказалось тестом на фишинг.
Письмо для сотрудников гласило, что благодаря им 2020 год стал рекордным для GoDaddy. Так как в этом году нет возможности провести новогоднюю вечеринку, компания решила поощрить работников с помощью единоразовой выплаты.
Чтобы получить деньги, сотрудники должны были указать свое местоположение и заполнить данные до 18 декабря. Через несколько дней компания разослала еще одно письмо от службы безопасности.
«Если вы получили это письмо, вы не прошли наш недавний тест на фишинг», — гласило оно. По данным главы службы безопасности GoDaddy Деметриуса Камса, около 500 сотрудников открыли письмо и внесли данные, тем самым провалив тест. Все они должны пересдать курс по повышению осведомленности о безопасности.
Новость о тесте вызвала возмущение в Twitter, причем некоторые пользователи пригрозили сменить хостинг-провайдеров, пишет издание.
Компании рассылают фишинговые тесты для проверки сотрудников на восприимчивость к фишинговым атакам. Но пользователи сочли жестоким обещать дополнительную выплату в разгар пандемии.
GoDaddy заявил, что компания извинилась перед сотрудниками, пишет Engadget. «GoDaddy очень серьезно относится к безопасности нашей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и сочли ее жестокой», — сообщила компания.
Тесты на фишинг это хорошо, но работодатель по дефолту имеет некоторый кредит доверия у сотрудников, отсюда и меньше внимательность. Разослали бы это письмо с левого адреса - и восприимчивость была бы в сотню раз меньше. А так кидалово какое-то.
ок, с такого адреса - открыли. Но ничего что "работодатель", у которого в реальности все ваши данные для "поощрения" есть, не просто прислал вам деньги на карту и теперь в e-mail объясняет в связи с чем, а просит перейти куда-то и заполнить данные?
Отчасти да, настораживающе. Но если предположить какой-то внутренний факап, которые иногда случаются, то запрос данных от работодателя не выглядит чем-то из ряда вон.
Но когда не хватает каких то данных, тебе из конкретного отдела пишет конкретный человек с конкретной должностью и обращаться будет к тебе конкретному, а не обезличенно, как в письме со скриншота. Элементарные признаки фишинга на лицо ведь. Я бы допустил еще факап когда все выше соблюдено, выглядит норм, а ссылка введет на сайт, где один символ в адресе заменили и ты не заметил. Но тут то максимально топорно сделано. Возможно, тренинги по безопасности в компании хреновые к стати.
Если факап с доступом к базе данных сотрудников, то всё будет именно так: обезличено и письмом, ибо к каждому лично задолбаешься подходить. Символ в адресе лично я в половине случаев замечу. Нехарактерный дизайн замечу в 80% случаев. Короче, у меня достаточно уровней защиты в нормальной ситуации, и за 15 лет активного пользования интернетом у меня не украли доступ ни к одному из миллиона аккаунтов, потому я склонен считать себя не особо восприимчивым к атакам. Но конкретно на эту бы я с хорошей вероятностью повёлся, просто потому что от работодателя не ожидаешь такого подвоха.
Да, будет обезличен при массовом фишинге. Но на большие компании и вкусные данные работают группы людей изучающие компании подолгу и тщательно. Недавно как раз читал статью на эту тему.
На своём опыте - у нас в конторе приходит более изощренный фишинг. Иногда сразу и не поймёшь. И это действинельно прокачивает бдительность. У меня пару месяцев назад не пришла во время зп. Я заметил но не придал значения. Ну малоли там банковские дни разные или еще что. Пара дней была задержка всего. Потом пришло письмо из отдела транзакций, просили уточнить данные карты. Тк мой банк не проводил платеж мне. Я в итоге провел целое расследование, все сверил 10 раз, опросил всех колег, прежде чем удостоврился что это не фишинг.
Ну так данные карты и данные о местоположении - это несравнимые вещи в вопросах конфиденциальности) Запросили бы у меня данные карты - я бы тоже 10 раз подумал. А отдать данные которые есть в открытом доступе - это не катастрофа.
Слушайте, ну если "предполагать факапы", то можно переходить вообще по всем письмам.
По всем глупо. Но по письмам от доверенного источника - в порядке вещей. Вот GoDaddy теперь оправдываются не зря, а потому что сыграли на доверии. Это запрещённый прием, и сработает он ровно один раз.