2020 Det er ikke et godt år med hensyn til computersikkerhed. David fortalte dem forleden salg af Zoom-konti. Og det ser det ud til denne gang var det tur til GitHub, Microsofts hosting- og versionskontroltjeneste. Det blev rapporteret om det mange af dets brugere bliver ofre for en phishing-kampagne designet specielt til at indsamle og stjæle deres legitimationsoplysninger gennem apokryfe sider, der efterligner GitHub-login-siden.
GitHub-konti er stjålet. En reel fare for udviklere og brugere
Umiddelbart efter at have taget kontrol over en konto, hanAngriberne fortsætter med at downloade indholdet af de private arkiver uden forsinkelse, understreger dem, der De tilhører organisationens konti og andre samarbejdspartnere.
Ifølge GitHubs Security Incident Response Team (SIRT) er disse risiciene
Hvis angriberen med succes stjæler legitimationsoplysningerne til GitHub-brugerkontoen, kan de hurtigt oprette personlige GitHub-adgangstokener eller godkende OAuth-applikationer på kontoen til at bevare adgang, hvis brugeren ændrer deres adgangskode.
Ifølge SIRT kaldte denne phishing-kampagne Sawfish, det kan påvirke alle aktive GitHub-konti.
Det vigtigste værktøj til at få adgang til konti er e-mail. Beskederne bruger forskellige tricks for at få modtagere til at klikke på det ondsindede link, der er inkluderet i teksten: nogle siger, at der blev opdaget uautoriseret aktivitet, mens andre nævner ændringer i opbevaringssteder eller i målbrugerens kontoindstillinger.
Brugere, der falder for bedraget og klikker for at kontrollere deres kontoaktivitet De omdirigeres derefter til en falsk GitHub-login-side, der indsamler deres legitimationsoplysninger og sender dem til servere, der kontrolleres af angriberen.
Den falske side brugt af angriberne du får også totrins godkendelseskoder i realtid ofre, hvis de bruger en tidsbaseret engangsadgangskode (TOTP) mobilapp.
For SIRT hidtil er konti, der er beskyttet af hardwarebaserede sikkerhedsnøgler, ikke sårbare over for dette angreb.
Sådan fungerer angrebet
Så vidt vides, de foretrukne ofre for denne phishing-kampagne er i øjeblikket aktive GitHub-brugere, der arbejder for tech-virksomheder i forskellige lande og de gør det ved hjælp af e-mail-adresser, der er offentligt kendte.
For at sende phishing-e-mailse bruger legitime domæner, enten ved hjælp af tidligere kompromitterede e-mail-servere eller ved hjælp af stjålne API-legitimationsoplysninger fra legitime bulk-e-mail-udbydere.
Angriberne tDe gør også brug af URL-afkortningstjenester designet til at skjule webadresserne på destinationssiderne. De kæder endda flere URL-forkortelsestjenester sammen for at gøre detektering endnu vanskeligere. Derudover blev brugen af PHP-baserede omdirigeringer fra de kompromitterede websteder opdaget.
Nogle måder at forsvare sig mod angreb på
I henhold til anbefalingerne fra de ansvarlige for sikkerhed skal du gøre følgende, hvis du har en GitHub-konto:
- Skift adgangskode
- Nulstil gendannelseskoderne i to trin.
- Gennemgå personlige adgangstokener.
- Skift til hardware- eller WebAuthn-godkendelse.
- Brug en browserbaseret adgangskodeadministrator. Disse giver en vis beskyttelse mod pishing, da de vil indse, at det ikke er et tidligere besøgt link.
Og selvfølgelig en, der aldrig fejler. Klik aldrig på et link, der sendes til dig via e-mail. Skriv adressen manuelt, eller opret den i bogmærker.
Under alle omstændigheder er det overraskende nyheder. Vi taler ikke om et socialt netværk, men et websted, der ifølge sin egen beskrivelse er:
en fælles softwareudviklingsplatform til vært for projekter ved hjælp af Git-versionskontrolsystemet. Koden er gemt offentligt, selvom den også kan gøres privat ...
Med andre ord er dets brugere de mennesker, der opretter de applikationer, vi bruger, og som derfor skal tilføje sikkerhedsfunktioner. Det er som at stjæle fra politiet.