Comptes GitHub volés via des attaques de pishing

Compte GitHub volé


2020 ce n'est pas une bonne année en termes de sécurité informatique. David leur a dit l'autre jour, la vente de comptes Zoom. Et il semble que cette fois, c'était au tour de GitHub, le service d'hébergement et de contrôle de version de Microsoft. Il a été rapporté que beaucoup de ses utilisateurs sont victimes d'une campagne de phishing conçue spécifiquement pour collecter et voler leurs informations d'identification via des pages apocryphes qui imitent la page de connexion GitHub.

Les comptes GitHub sont volés. Un réel danger pour les développeurs et les utilisateurs

Immédiatement après avoir pris le contrôle d'un compte, ilLes attaquants procèdent au téléchargement du contenu des référentiels privés sans délai, mettant l'accent sur ceux qui Ils sont la propriété des comptes de l'organisation et des autres collaborateurs.

Selon l'équipe de réponse aux incidents de sécurité (SIRT) de GitHub, ce sont les risques

Si l'attaquant réussit à voler les informations d'identification du compte utilisateur GitHub, il peut rapidement créer des jetons d'accès GitHub personnels ou autoriser les applications OAuth sur le compte à préserver l'accès au cas où l'utilisateur modifierait son mot de passe.

Selon le SIRT, cette campagne de phishing appelée Sawfish, il peut affecter tous les comptes GitHub actifs.

L'outil principal pour accéder aux comptes est le courrier électronique. Les messages utilisent diverses astuces pour amener les destinataires à cliquer sur le lien malveillant inclus dans le texte: certains disent qu'une activité non autorisée a été détectée, tandis que d'autres mentionnent des modifications apportées aux référentiels ou aux paramètres du compte de l'utilisateur cible.

Les utilisateurs qui tombent dans la tromperie et cliquent pour vérifier l'activité de leur compte Ils sont ensuite redirigés vers une fausse page de connexion GitHub qui recueille leurs informations d'identification et les envoie aux serveurs contrôlés par l'attaquant.

La fausse page utilisée par les attaquants vous obtiendrez également les codes d'authentification en deux étapes en temps réel des victimes si elles utilisent une application mobile à mot de passe à usage unique basé sur le temps (TOTP).

Pour le SIRT jusqu'à présent, les comptes protégés par des clés de sécurité matérielles ne sont pas vulnérables à cette attaque.

Voici comment fonctionne l'attaque

Pour autant que l'on sache, les victimes préférées de cette campagne de phishing sont actuellement les utilisateurs actifs de GitHub travaillant pour des entreprises technologiques dans divers pays et ils le font en utilisant des adresses e-mail connues du public.

Pour envoyer des e-mails de phishingNous utilisons des domaines légitimes, soit en utilisant des serveurs de messagerie précédemment compromis, soit à l'aide d'informations d'identification d'API volées des fournisseurs de services de messagerie en masse légitimes.

Les assaillants tIls utilisent également des services de raccourcissement d'URL conçu pour masquer les URL des pages de destination. Ils enchaînent même plusieurs services de raccourcissement d'URL pour rendre la détection encore plus difficile. De plus, l'utilisation de redirections PHP à partir de sites compromis a été détectée.

Quelques moyens de vous défendre contre les attaques

Selon les recommandations des responsables de la sécurité, il est pratique que si vous avez un compte GitHub, vous procédez comme suit:

  • Changer le mot de passe
  • Réinitialisez les codes de récupération en deux étapes.
  • Passez en revue les jetons d'accès personnels.
  • Passez à l'authentification matérielle ou WebAuthn.
  • Utilisez un gestionnaire de mots de passe basé sur un navigateur. Ceux-ci offrent un degré de protection contre le pishing car ils se rendront compte qu'il ne s'agit pas d'un lien précédemment visité.

Et bien sûr, celui qui n'échoue jamais. Ne cliquez jamais sur un lien qui vous a été envoyé par e-mail. Écrivez l'adresse manuellement ou placez-la dans vos signets.
Quoi qu'il en soit, c'est une nouvelle surprenante. Nous ne parlons pas d'un réseau social mais d'un site qui selon sa propre description est:

une plateforme de développement logiciel collaborative pour héberger des projets à l'aide du système de contrôle de version Git. Le code est stocké publiquement, bien que cela puisse également être fait en privé ...

En d'autres termes, ses utilisateurs sont les personnes qui créent les applications que nous utilisons et qui doivent donc ajouter des fonctionnalités de sécurité. C'est un peu comme voler le service de police.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.