2020 z hlediska počítačové bezpečnosti to není dobrý rok. David řekl jim druhý den prodej účtů Zoom. A zdá se, že tentokrát to byl na řadě GitHub, služba hostování a správy verzí společnosti Microsoft. Bylo hlášeno, že mnoho z jeho uživatelů se stalo obětí phishingové kampaně, která byla vytvořena speciálně pro shromažďování a krádež jejich pověření prostřednictvím apokryfních stránek, které napodobují přihlašovací stránku GitHub.
Účty GitHub jsou odcizeny. Skutečné nebezpečí pro vývojáře a uživatele
Ihned po převzetí kontroly nad účtem onÚtočníci neprodleně pokračují ve stahování obsahu soukromých úložišť, zdůrazňovat ty, kteří Jsou majetkem účtů organizace a dalších spolupracovníků.
Podle týmu GitHub's Security Incident Response Team (SIRT) se jedná o rizika
Pokud útočník úspěšně ukradne pověření uživatelského účtu GitHubu, může rychle vytvořit osobní přístupové tokeny GitHubu nebo autorizovat aplikace OAuth na účtu, aby zachoval přístup v případě, že uživatel změní své heslo.
Podle SIRT tato phishingová kampaň s názvem Sawfish, může ovlivnit všechny aktivní účty GitHub.
Hlavním nástrojem pro přístup k účtům je e-mail. Zprávy používají různé triky, aby přiměly příjemce kliknout na škodlivý odkaz obsažený v textu: někteří říkají, že byla zjištěna neoprávněná aktivita, zatímco jiní zmiňují změny v úložištích nebo v nastavení účtu cílového uživatele.
Uživatelé, kteří podvedou podvod a kliknutím zkontrolují aktivitu svého účtu Poté jsou přesměrováni na falešnou přihlašovací stránku GitHubu, která shromažďuje jejich pověření a odesílá je na servery ovládané útočníkem.
Falešná stránka používaná útočníky také obdržíte dvoustupňové ověřovací kódy v reálném čase obětí, pokud používají mobilní aplikaci s jednorázovým heslem založeným na čase (TOTP).
Pro SIRT zatím nejsou účty chráněné hardwarovými bezpečnostními klíči zranitelné vůči tomuto útoku.
Takto útok funguje
Pokud je známo, preferovanými oběťmi této phishingové kampaně jsou v současné době aktivní uživatelé GitHubu pracující pro technologické společnosti v různých zemích a dělají to pomocí e-mailových adres, které jsou veřejně známé.
Odesílání phishingových e-mailů sPoužíváme legitimní domény, a to buď pomocí dříve napadených e-mailových serverů, nebo pomocí odcizených pověření API od legitimních poskytovatelů hromadných e-mailových služeb.
Útočníci tVyužívají také služby zkracování adres URL určené ke skrytí adres URL vstupních stránek. Dokonce zřetězují více služeb zkracování adres URL, aby detekce byla ještě obtížnější. Dále bylo zjištěno použití přesměrování založených na PHP z napadených webů.
Některé způsoby, jak se bránit před útokem
Podle doporučení osob odpovědných za zabezpečení, pokud máte účet GitHub, měli byste udělat následující:
- Změňte heslo
- Obnovte kódy pro obnovení ve dvou krocích.
- Zkontrolujte osobní přístupové tokeny.
- Přepněte na hardwarové nebo WebAuthn ověřování.
- Použijte správce hesel založený na prohlížeči. Poskytují určitý stupeň ochrany před neoprávněným použitím, protože si uvědomí, že se nejedná o dříve navštívený odkaz.
A samozřejmě ten, který nikdy nezklame. Nikdy neklikejte na odkaz, který vám byl zaslán e-mailem. Napište adresu ručně nebo ji přidejte do záložek.
Je to každopádně překvapivá zpráva. Nemluvíme o sociální síti, ale o webu, který podle vlastního popisu je:
platforma pro vývoj softwaru pro spolupráci k hostování projektů pomocí systému pro správu verzí Git. Kód je uložen veřejně, i když ho lze provést také soukromě ...
Jinými slovy, jeho uživateli jsou lidé, kteří vytvářejí aplikace, které používáme, a proto musí přidat bezpečnostní funkce. Je to něco jako krádež z policejního oddělení.