2020 إنه ليس عامًا جيدًا من حيث أمان الكمبيوتر. ديفيد قلت لهم في اليوم الآخر بيع حسابات Zoom. ويبدو أن هذه المرة جاء دور GitHub ، خدمة الاستضافة والتحكم في الإصدارات من Microsoft. أفيد أن يقع العديد من مستخدميها ضحية لحملة تصيد مصممة خصيصًا لجمع بيانات اعتمادهم وسرقتها عبر صفحات ملفقة تحاكي صفحة تسجيل الدخول إلى GitHub.
تمت سرقة حسابات GitHub. خطر حقيقي للمطورين والمستخدمين
مباشرة بعد تولي السيطرة على الحساب ، هويشرع المهاجمون في تنزيل محتويات المستودعات الخاصة دون تأخير ، مؤكدا أولئك الذين هي ملك لحسابات المنظمة والمتعاونين الآخرين.
وفقًا لفريق الاستجابة للحوادث الأمنية (SIRT) في GitHub ، فهذه هي المخاطر
إذا نجح المهاجم في سرقة بيانات اعتماد حساب مستخدم GitHub ، فيمكنه إنشاء رموز وصول GitHub شخصية بسرعة أو تفويض تطبيقات OAuth على الحساب للحفاظ على الوصول في حالة تغيير المستخدم لكلمة المرور الخاصة به.
وفقًا لـ SIRT ، فإن حملة التصيد هذه تسمى Sawfish ، يمكن أن يؤثر على جميع حسابات GitHub النشطة.
الأداة الرئيسية للوصول إلى الحسابات هي البريد الإلكتروني. تستخدم الرسائل حيلًا مختلفة لجعل المستلمين ينقرون على الرابط الضار المضمن في النص: يقول البعض أنه تم اكتشاف نشاط غير مصرح به ، بينما يذكر البعض الآخر تغييرات في المستودعات أو في إعدادات حساب المستخدم المستهدف.
المستخدمون الذين يقعون في غرام الخداع وينقرون للتحقق من نشاط حساباتهم تتم إعادة توجيههم بعد ذلك إلى صفحة تسجيل دخول مزيفة إلى GitHub تجمع بيانات اعتمادهم وترسلهم إلى خوادم يتحكم فيها المهاجم.
الصفحة المزيفة التي استخدمها المهاجمون ستحصل أيضًا على رموز المصادقة المكونة من خطوتين في الوقت الفعلي من الضحايا إذا كانوا يستخدمون تطبيقًا للهاتف المحمول يعتمد على كلمة مرور لمرة واحدة (TOTP).
بالنسبة إلى SIRT حتى الآن ، فإن الحسابات المحمية بواسطة مفاتيح الأمان المستندة إلى الأجهزة ليست عرضة لهذا الهجوم.
هذه هي الطريقة التي يعمل بها الهجوم
بقدر ما هو معروف ، الضحايا المفضلون لحملة التصيد الاحتيالي هذه هم مستخدمو GitHub النشطون الذين يعملون في شركات التكنولوجيا في بلدان مختلفة ويفعلون ذلك باستخدام عناوين بريد إلكتروني معروفة للجميع.
لإرسال رسائل البريد الإلكتروني المخادعة se استخدام المجالات الشرعية ، إما باستخدام خوادم البريد الإلكتروني التي تم اختراقها مسبقًا أو بمساعدة بيانات اعتماد واجهة برمجة التطبيقات (API) المسروقة من مزودي خدمة البريد الإلكتروني المجمع الشرعي.
المهاجمون ركما أنهم يستفيدون من خدمات تقصير عناوين URL مصمم لإخفاء عناوين URL للصفحات المقصودة. حتى أنهم يربطون عدة خدمات لتقصير عناوين URL معًا لجعل عملية الكشف أكثر صعوبة. بالإضافة إلى ذلك ، تم اكتشاف استخدام عمليات إعادة التوجيه المستندة إلى PHP من المواقع المخترقة.
بعض الطرق للدفاع ضد الهجوم
وفقًا لتوصيات المسؤولين عن الأمان ، من الملائم أنه إذا كان لديك حساب على GitHub ، فإنك تقوم بما يلي:
- تغيير كلمة المرور
- أعد تعيين رموز الاسترداد في خطوتين.
- مراجعة رموز الوصول الشخصية.
- قم بالتبديل إلى مصادقة الأجهزة أو WebAuthn.
- استخدم مدير كلمات المرور المستند إلى المتصفح. توفر هذه درجة من الحماية ضد التصيد الاحتيالي لأنهم سيدركون أنه ليس رابطًا تمت زيارته مسبقًا.
وبالطبع ، واحد لا يفشل أبدًا. لا تنقر أبدًا على الرابط المرسل إليك عبر البريد الإلكتروني. اكتب العنوان يدويًا أو وضعه في الإشارات المرجعية.
على أي حال ، إنها أخبار مفاجئة. نحن لا نتحدث عن شبكة اجتماعية ولكن موقع حسب وصفه هو:
منصة تطوير برامج تعاونية لاستضافة المشاريع باستخدام نظام التحكم في إصدار Git. يتم تخزين الكود بشكل عام ، على الرغم من أنه يمكن أيضًا القيام به بشكل خاص ...
بمعنى آخر ، مستخدموه هم الأشخاص الذين ينشئون التطبيقات التي نستخدمها ، وبالتالي يتعين عليهم إضافة ميزات أمان. إنه نوع من السرقة من قسم الشرطة.