2020 Non è un buon anno in termini di sicurezza informatica. David detto loro l'altro giorno la vendita degli account Zoom. E sembra proprio così questa volta è stata la volta di GitHub, il servizio di hosting e controllo delle versioni di Microsoft. È stato riferito che molti dei suoi utenti sono vittime di una campagna di phishing progettata specificamente per raccogliere e rubare le loro credenziali attraverso pagine apocrife che imitano la pagina di accesso di GitHub.
Gli account GitHub vengono rubati. Un vero pericolo per sviluppatori e utenti
Immediatamente dopo aver preso il controllo di un account, luiGli aggressori procedono al download dei contenuti dei repository privati senza indugio, sottolineando coloro che Sono di proprietà degli account dell'organizzazione e di altri collaboratori.
Secondo il Security Incident Response Team (SIRT) di GitHub, questi sono i rischi
Se l'aggressore ruba con successo le credenziali dell'account utente GitHub, può creare rapidamente token di accesso GitHub personali o autorizzare le applicazioni OAuth sull'account per preservare l'accesso nel caso in cui l'utente cambi la password.
Secondo il SIRT, questa campagna di phishing chiamata Sawfish, può influire su tutti gli account GitHub attivi.
Lo strumento principale per accedere agli account è la posta elettronica. I messaggi utilizzano vari trucchi per indurre i destinatari a fare clic sul collegamento dannoso incluso nel testo: alcuni dicono che è stata rilevata un'attività non autorizzata, mentre altri menzionano modifiche ai repository o alle impostazioni dell'account dell'utente di destinazione.
Utenti che cadono nell'inganno e fanno clic per controllare l'attività del proprio account Vengono quindi reindirizzati a una falsa pagina di accesso di GitHub che raccoglie le loro credenziali e le invia ai server controllati dall'aggressore.
La pagina falsa utilizzata dagli aggressori riceverai anche codici di autenticazione in due passaggi in tempo reale delle vittime se utilizzano un'app mobile TOTP (time-based one-time password).
Per il SIRT finora, gli account protetti da chiavi di sicurezza basate su hardware non sono vulnerabili a questo attacco.
Ecco come funziona l'attacco
Da quanto si sa, le vittime preferite di questa campagna di phishing sono attualmente gli utenti attivi di GitHub che lavorano per aziende tecnologiche in vari paesi e lo fanno utilizzando indirizzi e-mail pubblicamente noti.
Per inviare e-mail di phishing sUtilizziamo domini legittimi, utilizzando server di posta precedentemente compromessi o con l'aiuto di credenziali API rubate da fornitori di servizi di posta elettronica in blocco legittimi.
Gli aggressori tFanno anche uso di servizi di accorciamento degli URL progettato per nascondere gli URL delle pagine di destinazione. Collegano anche più servizi di accorciamento degli URL insieme per rendere il rilevamento ancora più difficile. Inoltre, è stato rilevato l'uso di reindirizzamenti basati su PHP da siti compromessi.
Alcuni modi per difendersi dagli attacchi
Secondo le raccomandazioni dei responsabili della sicurezza, è conveniente che se hai un account GitHub tu faccia quanto segue:
- Cambia la password
- Ripristina i codici di ripristino in due passaggi.
- Rivedi i token di accesso personali.
- Passa all'autenticazione hardware o WebAuthn.
- Utilizza un gestore di password basato su browser. Questi forniscono un grado di protezione contro il pishing in quanto si renderanno conto che non si tratta di un collegamento visitato in precedenza.
E, naturalmente, uno che non fallisce mai. Non fare mai clic su un collegamento inviato tramite e-mail. Scrivi l'indirizzo manualmente o inseriscilo nei segnalibri.
Comunque, è una notizia sorprendente. Non stiamo parlando di un social network ma di un sito che secondo la propria descrizione è:
una piattaforma di sviluppo software collaborativo per ospitare progetti utilizzando il sistema di controllo della versione Git. Il codice è memorizzato pubblicamente, sebbene possa essere fatto anche privatamente ...
In altre parole, i suoi utenti sono le persone che creano le applicazioni che utilizziamo e che quindi devono aggiungere funzionalità di sicurezza. È un po 'come rubare al dipartimento di polizia.