2020 ez nem jó év a számítógépes biztonság szempontjából. David elmondta nekik a minap a Zoom számlák eladása. És úgy tűnik, hogy ezúttal a GitHubon, a Microsoft tárhely- és verziókezelő szolgáltatásán volt a sor. Azt jelentették, hogy sok felhasználója egy adathalász kampány áldozata, amelyet kifejezetten a hitelesítő adatok gyűjtésére és ellopására terveztek apokrif oldalakon keresztül, amelyek utánozzák a GitHub bejelentkezési oldalát.
A GitHub-fiókokat ellopták. Valódi veszélyt jelent a fejlesztők és a felhasználók számára
Közvetlenül a számla ellenőrzése után őA támadók haladéktalanul letöltik a privát adattárak tartalmát, hangsúlyozva azokat, akik Ezek a szervezet számláinak és más együttműködőknek a tulajdonát képezik.
A GitHub Security Incident Response Team (SIRT) szerint ezek a kockázatok
Ha a támadó sikeresen ellopja a GitHub felhasználói fiók hitelesítő adatait, akkor gyorsan létrehozhatnak személyes GitHub hozzáférési tokeneket, vagy engedélyezhetik a fiók OAuth-alkalmazásainak a hozzáférés megőrzését arra az esetre, ha a felhasználó megváltoztatja jelszavát.
A SIRT szerint ez a Sawfish nevű adathalász kampány, hatással lehet az összes aktív GitHub-fiókra.
A fiókok elérésének fő eszköze az e-mail. Az üzenetek különféle trükkökkel késztetik a címzetteket arra, hogy rákattintsanak a szövegben található rosszindulatú linkre: egyesek szerint illetéktelen tevékenységet észleltek, mások pedig a tárak vagy a célfelhasználó fiókbeállításainak változását említik.
Azok a felhasználók, akik csalásnak esnek, és rákattintanak a fióktevékenységük ellenőrzésére Ezután átirányítják őket egy hamis GitHub bejelentkezési oldalra, amely összegyűjti hitelesítő adatait és elküldi őket a támadó által irányított szerverekre.
A hamis oldal, amelyet a támadók használnak valós időben megkapja a kétlépcsős hitelesítési kódokat is áldozatok, ha időalapú egyszeri jelszó (TOTP) mobilalkalmazást használnak.
Az eddigi SIRT esetében a hardver alapú biztonsági kulcsokkal védett fiókok nem vannak kiszolgáltatva ennek a támadásnak.
A támadás így működik
Amennyire ismert, ennek az adathalász kampánynak az előnyben részesített áldozatai jelenleg az aktív GitHub-felhasználók, akik különböző országok technológiai vállalatainak dolgoznak és ezt nyilvánosan ismert e-mail címek segítségével teszik.
Adathalász e-mailek küldése sJogos domaineket használhat, vagy korábban sérült e-mail szerverek használatával, vagy ellopott API hitelesítő adatok segítségével a törvényes tömeges e-mail szolgáltatóktól.
A támadók tAz URL-rövidítési szolgáltatásokat is igénybe veszik célja a céloldalak URL-jeinek elrejtése. Még több URL-rövidítési szolgáltatást is összekapcsolnak, hogy még nehezebbé tegyék a felismerést. Ezenkívül a PHP-alapú átirányításokat is észlelték a sérült webhelyekről.
Néhány módszer arra, hogy megvédje magát a támadásoktól
A biztonságért felelős személyek ajánlásai szerint célszerű, ha GitHub-fiókkal rendelkezik, akkor tegye a következőket:
- Jelszó megváltoztatása
- Két lépésben állítsa vissza a helyreállítási kódokat.
- Ellenőrizze a személyes hozzáférési tokeneket.
- Váltson hardveres vagy WebAuthn-hitelesítésre.
- Használjon böngészőalapú jelszókezelőt. Ezek bizonyos fokú védelmet nyújtanak a horgászat ellen, mivel rájönnek, hogy ez nem egy korábban meglátogatott link.
És természetesen olyan, amely soha nem bukik el. Soha ne kattintson az e-mailben elküldött linkre. Írja be a címet kézzel, vagy vegye könyvjelzőkbe.
Egyébként meglepő hír. Nem egy közösségi hálózatról beszélünk, hanem egy webhelyről, amely a saját leírása szerint:
együttműködő szoftverfejlesztő platform a Git verziókezelő rendszert használó projektek fogadására. A kód nyilvánosan tárolódik, bár privát módon is megtehető ...
Más szavakkal, a felhasználók azok az emberek, akik létrehozzák az általunk használt alkalmazásokat, és ezért biztonsági funkciókat kell hozzáadniuk. Ez olyan, mint lopni a Rendőrkapitányságtól.