2020 કમ્પ્યુટર સિક્યુરિટીની દ્રષ્ટિએ તે સારું વર્ષ રહ્યું નથી. ડેવિડ તેમને કહ્યું બીજા દિવસે ઝૂમ એકાઉન્ટ્સનું વેચાણ. અને એવું લાગે છે આ સમયે માઇક્રોસ .ફ્ટની હોસ્ટિંગ અને વર્ઝન કન્ટ્રોલ સર્વિસ ગિટહબનો વારો આવ્યો. તે અહેવાલ આપ્યો હતો તેના ઘણા વપરાશકર્તાઓ ખાસ કરીને તેમના ઓળખપત્રો એકત્રિત કરવા અને ચોરી કરવા માટે રચાયેલ ફિશિંગ ઝુંબેશનો ભોગ બની રહ્યા છે એપોક્રીફાલ પૃષ્ઠો દ્વારા કે જે ગિટહબ લ loginગિન પૃષ્ઠની નકલ કરે છે.
ગિટહબ એકાઉન્ટ્સ ચોરી ગયા છે. વિકાસકર્તાઓ અને વપરાશકર્તાઓ માટે એક વાસ્તવિક ભય
ખાતાનો કબજો મેળવ્યા પછી તરત જ તેમણેહુમલાખોરો વિલંબ કર્યા વિના ખાનગી ભંડારોની સામગ્રીને ડાઉનલોડ કરવાનું આગળ વધે છે, જેઓ પર ભાર મૂકે છે સંસ્થાના એકાઉન્ટ્સ અને અન્ય સહયોગીઓની સંપત્તિ છે.
ગિટહબની સિક્યુરિટી ઇસીડેન્ટ રિસ્પોન્સ ટીમ (એસઆઈઆરટી) અનુસાર, આ જોખમો છે
જો હુમલાખોર GitHub વપરાશકર્તા ખાતાના ઓળખપત્રોને સફળતાપૂર્વક ચોરી કરે છે, તો વપરાશકર્તા તેમના પાસવર્ડને બદલશે તેવા કિસ્સામાં accessક્સેસને જાળવવા માટે તેઓ ઝડપથી વ્યક્તિગત GitHub accessક્સેસ ટોકન્સ બનાવી શકે છે અથવા એકાઉન્ટ પર OAuth એપ્લિકેશંસને અધિકૃત કરી શકે છે.
એસઆઈઆરટી મુજબ, આ ફિશિંગ અભિયાન જેને સોફિશ કહે છે, તે બધા સક્રિય GitHub એકાઉન્ટ્સને અસર કરી શકે છે.
એકાઉન્ટ્સને toક્સેસ કરવા માટેનું મુખ્ય સાધન ઇમેઇલ છે. સંદેશા પ્રાપ્તકર્તાઓને ટેક્સ્ટમાં શામેલ દૂષિત કડી પર ક્લિક કરવા માટે વિવિધ યુક્તિઓનો ઉપયોગ કરે છે: કેટલાક કહે છે કે અનધિકૃત પ્રવૃત્તિ મળી આવી છે, જ્યારે અન્ય લોકો રિપોઝીટરીઓમાં અથવા લક્ષ્ય વપરાશકર્તાની એકાઉન્ટ સેટિંગ્સમાં ફેરફારનો ઉલ્લેખ કરે છે.
વપરાશકર્તાઓ કે જે છેતરપિંડી માટે આવે છે અને તેમની એકાઉન્ટ પ્રવૃત્તિ તપાસવા માટે ક્લિક કરે છે તે પછી તેમને બનાવટી ગીટહબ લ loginગિન પૃષ્ઠ પર રીડાયરેક્ટ કરવામાં આવે છે જે તેમના ઓળખપત્રો એકત્રિત કરે છે અને તેમને હુમલાખોર દ્વારા નિયંત્રિત સર્વર્સ પર મોકલે છે.
હુમલો કરનારાઓ દ્વારા નકલી પેજનો ઉપયોગ કરવામાં આવ્યો હતો તમને રીઅલ ટાઇમમાં બે-પગલાના પ્રમાણીકરણ કોડ પણ મળશે ભોગ બનેલા લોકો જો તેઓ સમય-આધારિત વન-ટાઇમ પાસવર્ડ (TOTP) મોબાઇલ એપ્લિકેશનનો ઉપયોગ કરી રહ્યાં છે.
સિરટ માટે હજી સુધી, હાર્ડવેર-આધારિત સુરક્ષા કીઓ દ્વારા સુરક્ષિત એકાઉન્ટ્સ આ હુમલા માટે સંવેદનશીલ નથી.
આ હુમલો કેવી રીતે કામ કરે છે
જે જાણીતું છે, આ ફિશિંગ ઝુંબેશના પ્રાધાન્ય પીડિતો હાલમાં વિવિધ દેશોમાં ટેક કંપનીઓ માટે કામ કરતા ગિથબ વપરાશકર્તાઓ સક્રિય છે અને તેઓ આમ કરવા માટે જાહેરમાં જાણીતા એવા ઇમેઇલ સરનામાંઓનો ઉપયોગ કરે છે.
ફિશિંગ ઇમેઇલ્સ મોકલવા માટેઅને કાયદેસર ડોમેન્સનો ઉપયોગ કરો, અગાઉના સમાધાનવાળા ઇમેઇલ સર્વર્સનો ઉપયોગ કરીને અથવા ચોરેલા API ઓળખપત્રોની સહાયથી કાયદેસર બલ્ક ઇમેઇલ સેવા પ્રદાતાઓ તરફથી.
હુમલાખોરો ટીતેઓ યુઆરએલ ટૂંકી સેવાઓનો ઉપયોગ પણ કરે છે ઉતરાણ પૃષ્ઠોના URL ને છુપાવવા માટે રચાયેલ છે. તેઓ શોધને વધુ મુશ્કેલ બનાવવા માટે ઘણી URL ટૂંકી સેવાઓની સાંકળ પણ કરે છે. વધારામાં, સમાધાનકારી સાઇટ્સથી PHP- આધારિત રીડાયરેક્ટ્સનો ઉપયોગ શોધી કા of્યો.
હુમલોથી પોતાનો બચાવ કરવાની કેટલીક રીતો
સલામતી માટે જવાબદાર લોકોની ભલામણો અનુસાર, જો તમારી પાસે ગિટહબ ખાતું છે, તો તમારે નીચેના કરવું જોઈએ:
- પાસવર્ડ બદલો
- પુન stepsપ્રાપ્તિ કોડને બે પગલામાં ફરીથી સેટ કરો.
- વ્યક્તિગત toક્સેસ ટોકન્સની સમીક્ષા કરો.
- હાર્ડવેર અથવા વેબઅથન પ્રમાણીકરણ પર સ્વિચ કરો.
- બ્રાઉઝર-આધારિત પાસવર્ડ મેનેજરનો ઉપયોગ કરો. આ પિશીંગ સામે રક્ષણની ડિગ્રી પ્રદાન કરે છે કારણ કે તેઓને ખ્યાલ આવશે કે તે પહેલાંની મુલાકાત લેવાયેલી લિંક નથી.
અને અલબત્ત, એક જે ક્યારેય નિષ્ફળ થતું નથી. ઇમેઇલ દ્વારા તમને મોકલેલી લિંક પર ક્યારેય ક્લિક ન કરો. સરનામાં જાતે લખો અથવા તેને બુકમાર્ક્સમાં રાખો.
તો પણ, તે આશ્ચર્યજનક સમાચાર છે. અમે કોઈ સોશિયલ નેટવર્ક વિશે નહીં પરંતુ એક સાઇટ વિશે વાત કરી રહ્યા છીએ જે તેના પોતાના વર્ણન મુજબ છે:
ગિટ વર્ઝન કંટ્રોલ સિસ્ટમનો ઉપયોગ કરીને પ્રોજેક્ટ્સને હોસ્ટ કરવા માટે સહયોગી સ softwareફ્ટવેર ડેવલપમેન્ટ પ્લેટફોર્મ. કોડ સાર્વજનિક રૂપે સંગ્રહિત છે, જો કે તે ખાનગી રૂપે પણ કરી શકાય છે ...
બીજા શબ્દોમાં કહીએ તો, તેના વપરાશકર્તાઓ તે લોકો છે જે એપ્લિકેશનનો ઉપયોગ કરે છે જેનો આપણે ઉપયોગ કરીએ છીએ અને તેથી જેમણે સુરક્ષા સુવિધાઓ ઉમેરવી પડશે. તે પોલીસ વિભાગમાંથી ચોરી કરવા જેવું કંઈક છે.