2020 не е добра година по отношение на компютърната сигурност. David казах им онзи ден продажбата на Zoom акаунти. И изглежда така този път беше ред на GitHub, услугата за хостинг и контрол на версиите на Microsoft. Съобщава се, че много от неговите потребители са жертви на фишинг кампания, създадена специално за събиране и кражба на техните пълномощия чрез апокрифни страници, които имитират страницата за вход в GitHub.
Профилите в GitHub са откраднати. Реална опасност за разработчици и потребители
Веднага след като пое контрола върху дадена сметка, тойНападателите продължават да изтеглят съдържанието на частните хранилища без забавяне, подчертавайки тези, които Те са собственост на акаунтите на организацията и други сътрудници.
Според екипа за реагиране при инциденти на сигурността (SIRT) на GitHub това са рисковете
Ако нападателят успешно открадне идентификационните данни на потребителския акаунт на GitHub, той може бързо да създаде лични токени за достъп до GitHub или да упълномощи OAuth приложения в акаунта, за да запази достъпа, в случай че потребителят промени паролата си.
Според SIRT тази фишинг кампания, наречена Sawfish, това може да засегне всички активни акаунти в GitHub.
Основният инструмент за достъп до акаунти е имейл. Съобщенията използват различни трикове, за да накарат получателите да кликнат върху злонамерената връзка, включена в текста: някои казват, че е била открита неоторизирана дейност, докато други споменават промени в хранилищата или в настройките на акаунта на целевия потребител.
Потребители, които попадат на измамата и кликват, за да проверят активността на акаунта си След това те се пренасочват към фалшива страница за вход в GitHub, която събира техните идентификационни данни и ги изпраща на сървъри, контролирани от нападателя.
Фалшивата страница, използвана от нападателите ще получите и двуетапните кодове за удостоверяване в реално време на жертвите, ако използват мобилно приложение за еднократна парола (TOTP).
За SIRT досега акаунтите, защитени от хардуерно базирани ключове за сигурност, не са уязвими към тази атака.
Ето как работи атаката
Доколкото е известно, предпочитаните жертви на тази фишинг кампания в момента са активни потребители на GitHub, работещи за технологични компании в различни страни и те го правят, като използват имейл адреси, които са публично известни.
За изпращане на фишинг имейли sИзползвайте легитимни домейни, използвайки предварително компрометирани имейл сървъри или с помощта на откраднати идентификационни данни за API от легитимни доставчици на масови имейли.
Нападателите tТе също така използват услуги за съкращаване на URL адреси предназначени да скрият URL адресите на целевите страници. Те дори свързват множество услуги за съкращаване на URL адреси, за да направят откриването още по-трудно. Освен това беше открито използването на PHP-базирани пренасочвания от компрометирани сайтове.
Някои начини да се защитите от нападение
Според препоръките на отговорниците за сигурността, ако имате акаунт в GitHub, трябва да направите следното:
- Промяна на парола
- Нулирайте кодовете за възстановяване в две стъпки.
- Прегледайте жетоните за личен достъп.
- Преминете към хардуер или WebAuthn удостоверяване.
- Използвайте мениджър на пароли, базиран на браузър. Те осигуряват известна степен на защита срещу риболов, тъй като ще разберат, че това не е предишна посетена връзка.
И разбира се, такъв, който никога не се проваля. Никога не кликвайте върху връзка, изпратена до вас по имейл. Напишете адреса ръчно или го запишете в отметки.
Както и да е, това е изненадваща новина. Не говорим за социална мрежа, а за сайт, който според собственото си описание е:
платформа за съвместна разработка на софтуер за хостване на проекти, използващи системата за контрол на версиите Git. Кодът се съхранява публично, въпреки че може да се направи и частно ...
С други думи, неговите потребители са хората, които създават приложенията, които използваме и следователно трябва да добавят защитни функции. Това е нещо като кражба от полицейското управление.