2020 ini bukan tahun yang baik dalam hal keamanan komputer. David Beritahu mereka tempo hari penjualan akun Zoom. Dan sepertinya begitu kali ini giliran GitHub, hosting Microsoft dan layanan kontrol versi. Dilaporkan bahwa banyak penggunanya menjadi korban kampanye phishing yang dirancang khusus untuk mengumpulkan dan mencuri kredensial mereka melalui halaman apokrif yang meniru halaman login GitHub.
Akun GitHub dicuri. Bahaya nyata bagi pengembang dan pengguna
Segera setelah mengambil kendali atas sebuah akun, diaPara penyerang melanjutkan untuk mengunduh konten dari repositori pribadi tanpa penundaan, menekankan mereka yang Mereka adalah milik akun organisasi dan kolaborator lainnya.
Menurut Security Incident Response Team (SIRT) GitHub, inilah risikonya
Jika penyerang berhasil mencuri kredensial akun pengguna GitHub, mereka dapat dengan cepat membuat token akses GitHub pribadi atau memberi otorisasi aplikasi OAuth pada akun untuk mempertahankan akses jika pengguna mengubah sandi mereka.
Menurut SIRT, kampanye phishing ini disebut Sawfish, itu dapat mempengaruhi semua akun GitHub yang aktif.
Alat utama untuk mengakses akun adalah email. Pesan tersebut menggunakan berbagai trik untuk membuat penerima mengklik tautan berbahaya yang disertakan dalam teks: beberapa mengatakan aktivitas tidak sah terdeteksi, sementara yang lain menyebutkan perubahan pada repositori atau pengaturan akun pengguna target.
Pengguna yang tertipu dan mengeklik untuk memeriksa aktivitas akun mereka Mereka kemudian dialihkan ke halaman login GitHub palsu yang mengumpulkan kredensial mereka dan mengirimkannya ke server yang dikendalikan oleh penyerang.
Halaman palsu yang digunakan oleh penyerang Anda juga akan mendapatkan kode otentikasi dua langkah secara real time dari korban jika mereka menggunakan aplikasi seluler one-time password (TOTP) berbasis waktu.
Untuk SIRT sejauh ini, akun yang dilindungi oleh kunci keamanan berbasis perangkat keras tidak rentan terhadap serangan ini.
Beginilah cara serangan itu bekerja
Sejauh yang diketahui, korban pilihan dari kampanye phishing ini adalah pengguna aktif GitHub yang bekerja untuk perusahaan teknologi di berbagai negara dan mereka melakukannya dengan menggunakan alamat email yang diketahui publik.
Untuk mengirim email phishing se menggunakan domain yang sah, baik menggunakan server email yang sebelumnya disusupi atau dengan bantuan kredensial API yang dicuri dari penyedia layanan email massal yang sah.
Para penyerang tMereka juga memanfaatkan layanan pemendekan URL dirancang untuk menyembunyikan URL halaman arahan. Mereka bahkan merangkai beberapa layanan pemendekan URL bersama-sama untuk membuat deteksi semakin sulit. Selain itu, penggunaan pengalihan berbasis PHP dari situs yang disusupi terdeteksi.
Beberapa cara untuk mempertahankan diri dari serangan
Menurut rekomendasi dari mereka yang bertanggung jawab atas keamanan, jika Anda memiliki akun GitHub, Anda harus melakukan hal berikut:
- Ubah kata sandi
- Setel ulang kode pemulihan dalam dua langkah.
- Tinjau token akses pribadi.
- Beralih ke perangkat keras atau otentikasi WebAuthn.
- Gunakan pengelola kata sandi berbasis browser. Ini memberikan tingkat perlindungan terhadap pishing karena mereka akan menyadari bahwa ini bukan tautan yang dikunjungi sebelumnya.
Dan tentu saja, yang tidak pernah gagal. Jangan pernah mengklik link yang dikirimkan kepada Anda melalui email. Tulis alamatnya secara manual atau simpan di bookmark.
Bagaimanapun, ini adalah berita yang mengejutkan. Kami tidak berbicara tentang jejaring sosial tetapi situs yang menurut deskripsinya sendiri adalah:
platform pengembangan perangkat lunak kolaboratif untuk menghosting proyek menggunakan sistem kontrol versi Git. Kode disimpan untuk umum, meskipun dapat juga dilakukan secara pribadi ...
Dengan kata lain, penggunanya adalah orang-orang yang membuat aplikasi yang kita gunakan dan karenanya harus menambahkan fitur keamanan. Ini seperti mencuri dari Departemen Kepolisian.