500 сотрудников GoDaddy провалили фишинговый тест — они получили письмо с обещанием финансовой помощи в $650 Статьи редакции
Пользователи интернета сочли тест жестоким, компании пришлось извиниться перед сотрудниками.
Компания GoDaddy, регистрирующая доменные имена, 14 декабря разослала своим сотрудникам по электронной почте письма с предложением финансовой помощи: праздничного бонуса в $650, пишет Copper Courier. Письмо оказалось тестом на фишинг.
Письмо для сотрудников гласило, что благодаря им 2020 год стал рекордным для GoDaddy. Так как в этом году нет возможности провести новогоднюю вечеринку, компания решила поощрить работников с помощью единоразовой выплаты.
Чтобы получить деньги, сотрудники должны были указать свое местоположение и заполнить данные до 18 декабря. Через несколько дней компания разослала еще одно письмо от службы безопасности.
«Если вы получили это письмо, вы не прошли наш недавний тест на фишинг», — гласило оно. По данным главы службы безопасности GoDaddy Деметриуса Камса, около 500 сотрудников открыли письмо и внесли данные, тем самым провалив тест. Все они должны пересдать курс по повышению осведомленности о безопасности.
Новость о тесте вызвала возмущение в Twitter, причем некоторые пользователи пригрозили сменить хостинг-провайдеров, пишет издание.
Компании рассылают фишинговые тесты для проверки сотрудников на восприимчивость к фишинговым атакам. Но пользователи сочли жестоким обещать дополнительную выплату в разгар пандемии.
GoDaddy заявил, что компания извинилась перед сотрудниками, пишет Engadget. «GoDaddy очень серьезно относится к безопасности нашей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и сочли ее жестокой», — сообщила компания.
Какие все нежные...
Пригрозили сменить провайдера из-за проверки сотрудников или что сотрудники не осведомлены о мерах безопасности?
Комментарий недоступен
небось, полтора человека написало и только 1 сменит провайдера)
У Американцев сейчас очень бомбит от ничтожного stimulus чека в 600 долларов, поэтому данное письмо GoDaddy, предлагающее как раз 600 с лишним долларов, выглядит как злая шутка.
из-за того, что SJW головного мозга. Защищать угнетенных, даже если эти угнетенные - болванчики, которые в следующий раз могут проебать все твои данные
Предполагаю это могли быть социальные атаки конкурентов чтобы спровоцировать отток клиентов.
Вот такие дауничи сидят на норм зп небось
Еще можно вспомнить того дауна из админки Твитера, который дал подросткам свои данные и они начали устраивать приколы с биткоинами от лица Илона Маска
Теперь понятно, почему сотрудники взбунтовались. Сначала накосячили, а теперь жалуются.
Комментарий недоступен
Ага, тем которые даже рабочую почту не читают
А с тех, кто повелись, списать со счета по 650 $. Точно бы запомнили ) Сарказм.
Так настоящие мошенники, вроде, так и работают — на эмоциях (и невнимательности) своих жертв?
Тут двоякая история. Если письмо было отправлено без признаков фишинга, то сотрудник никак не мог его выявить и тогда это действительно тупая проверка знаний правил ИБ.
Если признаки были и сотрудники не поняли, что это фишинг, то Годэди сделал всё правильно.
Хакеры церемониться и испытывать чувство стыда не будут. Либо они проверят сотрудников, либо злодеи.
Это работает так:
Тесты на фишинг это хорошо, но работодатель по дефолту имеет некоторый кредит доверия у сотрудников, отсюда и меньше внимательность. Разослали бы это письмо с левого адреса - и восприимчивость была бы в сотню раз меньше. А так кидалово какое-то.
ок, с такого адреса - открыли. Но ничего что "работодатель", у которого в реальности все ваши данные для "поощрения" есть, не просто прислал вам деньги на карту и теперь в e-mail объясняет в связи с чем, а просит перейти куда-то и заполнить данные?
Адрес электронной почты подделывается очень легко
Подмена адреса и Вы работодатель. От такого защитит только какой-то закрытый канал связи (например в мессенджере) в котором будут официальные новости о таких рассылках, и прежде чем отвечать на письма от работодателя, сотрудник должен зайти в этот канал и посмотреть, есть ли официальные новости о таких рассылках
100% с левого адреса и присылали, ибо если это корпоративный адрес (с подписью, DKIM) - то это не тестовый фишинг, а реальная уже наёбка просто)
А ты уверен, что его не с левого адреса прислали? Я вот не уверен.
вы вообще понимаете что такое фишинг?
Так с левого адреса такие тестовые письма и рассылают :)
так отправителя можно подделать, чем фишеры часто пользуются
А кто сказал, что адрес не был подделан?
Мдаааа
Штатный психолога/ hr либо не спросили вообще можно ли такое устраивать либо он херовый)
Комментарий недоступен
Согласен: цель - благая, содержание - убогое. В голове сотрудников отложиться лучше, но у части (из нескольких сотен/тысяч!) ударит по морали, соответственно и по эффективности работы. Для кого-то может стать решающим моментом принять хороший оффер от конкурента.
Пишущих про "неженок" не понимаю. В большом коллективе много разных психотипов, у многих мотивация завязана на личную привязанность к компании, и такие "разводки" сильно по ней бьют.
Идеальным решением было бы провести такой тест перед реальным поощрением. Компания только за 3 квартал заработала 65млн, вроде не бедствуют.
За что извиняться то? Сотрудники ранее проходили обучение по безопасности но сейчас обосрались. Да, мир жесток и эти сотрудники - потенциальная огромная дыра в безопасности компании и, думаю, у безопасников от увиденного волосы на ж... зашевелились.
В смысле за что? Они вроде не в ЦРУ или КГБ работают, чтобы их поднимали посреди ночи, обливали холодной водой и сажали на краешек стула.
Письмо внутреннее, пришло из компании. Политика компании наверняка такая, чтобы не распространяться о том, кому чего пришло, учитывая, что это еще и удаленная (наверняка) работа.
Тест замечательный, как выше говорят. Но такого работодателя - нахер или в суд.
Очередь за забором резко подвинулась вперёд.
Вот именно из-за таких новостей я держусь подальше от Twitter, куча либерах, которые не умеют смотреть на происходящее объективно. Ранишь их стекляное эго каким-то неправильным высказыванием и они пригрозят "сменить домен". Бу-ху, как страшно, 40 человек пойдут и поменяют домен. Наверное это сильно навредит многомиллионой компании, обслуживающий 80%+ стран мира
Раньше это называлась дурка, теперь твиттер)
Странные твиты про смену провайдера.
Наоборот круто, что компания улучшает безопасность, а не пускает на самотёк, не ждёт, когда будет реальная фишинг атака и пострадают клиенты
Прочитал "некоторые пользователи пригрозили сменить хостинг-провайдеров, пишет издание" - думаю "реально же люди ценят чтобы их доменами не занимались сотни глупых людей".
Читаю дальше: "пользователи сочли жестоким обещать дополнительную выплату в разгар пандемии" - а, нет - пользователи сами глупые.
Так и представляю диалог хакеров по мнению твиттерян:
Джонни: я решил отправить фишинговую рассылку, в которой пообещаю 650 баксов сотрудникам атакуемой компании
Иван: ну и мразь же ты, Джони, нет, отправь что нибудь другое, не будь мудаком!
Для того, чтобы трезво оценить ситуацию, у этой новости не хватает данных. Как минимум вопросы:
1. Какие инструкции по безопасности должны соблюдать сотрудники GoDaddy? Какие нарушены?
2. Какое обучение проходили сотрудники?
3. Какой адрес был отправителем? Адрес рассылок внутренних корпоративных инструкций, общий адрес или вообще новый email?
4. 500 человек - это сколько? 5% или 80% сотрудников?
Было бы больше информации, реакция общественности да и самих сотрудников была бы более логичной.
А так биоматериал в людях кипит, опираясь только на эмоции:
- Уволить к херам таких зевак!!!
- Изверги!!! Как так можно издеваться над коллективом в разгар пандемии?!!!
Здраво да. Там вот выше уже скинули скрин с адресом.
Теперь бы еще адрес ссылки на портал глянуть и тогда можно будет более уверенно повесить чертей либо на юзверей либо на службу безопасности =)
А вообще интересный кейс вырисовывается. Манипуляции общественным мнением через кликбейтные заголовки и не полную информацию во всей красе!
Зачем жалеть идиотов?
И тем более извиняться за то что они потенциально могли стать уязвимостью, не подумав.
После такого финала некоторые точно сменили хостинг-провайдера 🤭
Так письмо пришло от имени компании, сотрудники обязаны реализовывать такие письма. Но вот в должностных инструкциях ничего не сказано о том, что на сотрудника возложена обязанность в рабочее время проходить тесты и сдавать экзамены, о которых он заранее не предупрежден. Как бы это выглядело, если бы сотрудник службы безопасности офиса GoDaddy облил помещение бензином и поджог, что бы проверить как работает система пожаротушения? Было бы хорошо, если сотрудники подали 500 исков, что бы компания не отделалась одними извинениями
Ну тренинги по фишингу то там по любому проводили. Это же не стартап. Огромная вайти контора.
Прям вот не сказано? Вот прям вы точно знаете все должностные инструкции сотрудников GoDaddy?
Современная реальность: тупому нельзя сказать, что он тупой. Ведь это дискриминация!
Суть не в этом , а в том , что твоя компания на которую ты работаешь , присылает тебе письмо (в котором все данные твоей же компании) в котором говорит о том , стог был тяжёлым , но ты молодец и хорошо поработал... а вместо корпоротивной вечеринки которую провести из-за пандемии невозможно - получи бонус 650$... Ну если это тест , то вы хотя бы не от своего имени отправляли почту. А так люди привыкли доверять вам , ведь они на вас работают.
Комментарий недоступен
А ничего что Почта отправителя подделывается?
Премия по итогам года от Админа? Ничего что это максимально нелогично? Откуда у админа - результаты работы по итогам года, и мы сейчас говорим не про компании из трех дровосеков(где админ - может делать все), а компанию - где 500 человек не подумали.
Да, это обычное дело - люди обижаются, когда проваливают тест на идиотизм.
pr-щика теперь выебут на новый год. Репутационный урон и уход клиентов я думаю обойдется дороже чем 650 баксов 500 сотрудникам.
Думаю, что ровным счётом никак. Большинство людей адекватны.
Очень хорошо, неадекватные клиенты уйдут.
Я когда работал на складе "Магнита", неофициально, то через Ватсапп под видом начальницы собирал номера карточек, паспортные данные. Я бы запросто дал паспортные данные, но паспорт был дома, я отдал номер СНИЛС только, ещё надо было назвать код в СМС, видимо он хотел зайти в личный кабинет на сайте банка, но я не дал его, потому что в СМС четко было написано, что код никому нельзя передавать, и он ещё не смог ответить на вопрос , что чем занимается муж начальницы, и вообще писал с грубыми ошибками.
Возмущение долбоебов... боже это так толерантно
првильно проверили
Как минимум, их подозрения оправдались
В сбере еще веселее же, там с фирменным оформлением присылают проверки)
А надо в специальном "хакерском" оформлении присылать? Ну логично, что оформляют в таком виде который вызовет больше доверия.
В Сбере самый низкий показатель открываемости таких ссылок.
Занимательно. Для меня GoDaddy это один большой фишинговый тест: отжать нужные галочки, пропустить сомнительные акции, просто купить домен на один год.
Комментарий недоступен
Главное - чтобы данные этих 500 сотрудников случайно не оказались слиты в сеть)
Надо им сотрудников Авито отправить для консультаций по вопросам безопасности в сети.
Так а какие данные просили-то, где инфа? Болтовня ни о чем, пока.
Надо было в 7 утра позвонить через номер GoDaddy, представившись Аманом Бутани, и сказав, что необходимо получить номер карточки для перевода 500 долларов в честь праздника.
идея для страт-апа
Я считаю, что это круто.
Внимательные сотрудники - внимательная компания.
Зато потом вони будет сколько от этих твиттерских пидорах, если по вине одного из этих сотрудников уведут домен
Да, но если письмо было с официального адреса компании, то как отличить тест "на фишинг" от теста "на лояльность к компании, даже если некоторые её требования кажутся тебе дурацкими"? 🤔
Глянуть заголовок RFC822
Цель достигнута - я узнал, что на свете есть регистратор GoDaddy. Только что мне делать с этой информацией?
Не пользоваться ими. Так себе сервис, если честно
Байтить сотрудников на фишинг - правильно, но ценой их доверия и лояльности к самой же компании - крайне глупо и недальновидно; в долгосрочной перспективе такие 'шуточки' вполне могут привести к ухудшению уровня общей практики. Не секрет, что самые высокоэффективные и ценные сотрудники - это, как правило, наиболее психически устойчивые и ментально здоровые, счастливые, люди. И что-то мне подсказывает, ментально здоровый сотрудник, скорее, предпочтет фирму, где руководство не использует методику кратковременного тока для тестирования и поучения.
Так никому ж нельзя верить, даже себе. Увеличивая степень доверия сотрудников к внутренним ресурсам можно сильно усугубить ситуацию в случае атаки изнутри.
Когда мне на работе приходят такие письма я всегда с радостью перехожу на сайт. Мне показывают плашку о провале теста и я ей радуюсь. Потому что и сам знал, что это фишинг.
НДС ещё не возвращали в этом году? Вам начислено 520 тысяч ))
Т.е. если плашки не будет, решите, что ошиблись и введете данные?
Кстати сейчас один раздает сайтовые домены бесплатно, но надо предоставить свои пароль и логин с сайта reg.ru . Все бы ничего, но надо паспортные данные место регистрации. Не знаю
Паспортные данные и место регистрации - нужны для владения доменом, это общее условие для того чтобы права собственности были зарегистрированы на вас.
А вот для передачи домена вам, нужен только ваш логин на сайте reg.ru (у большинства аккаунтов он совпадает с емелйом) никакой пароль или паспортные данные для этого не нужны.
По-моему вопрос что важнее безопасность или психология сотрудников - риторический.
.
Удивительно, что всякую дичь открывают с корпоративной почты
Получается у них на фишинг попадается 12.5%. Это в 4 раза меньше обычного положения дел в организациях. Но им еще далеко до 0.2% которых нужно достичь.
Комментарий недоступен
Годадди - молодцы. Сотрудники - сами себе злобные буратины.
Пусть пищат. Ждем утечек с Годэди и обеления чести безопасников (если они делали правильные тесты)
Когда пообещал сотрудникам бонус, а у тебя под конец года срывается крупный клиент: "конечно это была проверка на фишинг, а вы что подумали?"
Ко всему прочему, вопрос — какие данные запрашивали. Если там спросили емеил и имя/должность, то и пофиг. А если данные карточки/ссн/счет, то это другое дело.
Ты туда не ходи, ты сюда ходи, а то снег башка попадёт..