2020 ini bukan tahun yang baik dari segi keselamatan komputer. David beritahu mereka pada hari yang lain penjualan akaun Zoom. Dan nampaknya begitu kali ini giliran GitHub, perkhidmatan pengendalian hosting dan versi Microsoft. Dilaporkan bahawa banyak penggunanya menjadi mangsa kempen pancingan data yang dirancang khusus untuk mengumpulkan dan mencuri bukti kelayakan mereka melalui halaman apokrif yang meniru halaman log masuk GitHub.
Akaun GitHub dicuri. Bahaya sebenar bagi pemaju dan pengguna
Sejurus setelah mengambil alih akaun, diaPenyerang terus memuat turun kandungan repositori peribadi tanpa berlengah, menekankan kepada mereka yang adalah hak milik akaun organisasi dan kolaborator lain.
Menurut Pasukan Respons Insiden Keselamatan (SIRT) GitHub, ini adalah risikonya
Sekiranya penyerang berjaya mencuri kelayakan akaun pengguna GitHub, mereka dapat dengan cepat membuat token akses GitHub peribadi atau membenarkan aplikasi OAuth pada akaun untuk mengekalkan akses sekiranya pengguna menukar kata laluan mereka.
Menurut SIRT, kempen pancingan data ini disebut Sawfish, ia boleh mempengaruhi semua akaun GitHub yang aktif.
Alat utama untuk mengakses akaun adalah e-mel. Mesej menggunakan pelbagai helah untuk membuat penerima mengklik pautan jahat yang terdapat dalam teks: ada yang mengatakan aktiviti tidak sah dikesan, sementara yang lain menyebutkan perubahan pada repositori atau pada tetapan akaun pengguna sasaran.
Pengguna yang menipu dan klik untuk memeriksa aktiviti akaun mereka Mereka kemudian diarahkan ke halaman masuk GitHub palsu yang mengumpulkan bukti kelayakan mereka dan menghantarnya ke pelayan yang dikendalikan oleh penyerang.
Halaman palsu yang digunakan oleh penyerang anda juga akan mendapat kod pengesahan dua langkah dalam masa nyata mangsa sekiranya mereka menggunakan aplikasi mudah alih kata laluan satu kali (TOTP) berdasarkan masa.
Untuk SIRT setakat ini, akaun yang dilindungi oleh kunci keselamatan berasaskan perkakasan tidak terdedah kepada serangan ini.
Ini adalah bagaimana serangan itu berfungsi
Dari apa yang diketahui, mangsa pilihan kempen phishing ini adalah pengguna GitHub aktif yang bekerja untuk syarikat teknologi di pelbagai negara dan mereka melakukannya menggunakan alamat e-mel yang diketahui umum.
Untuk menghantar e-mel pancingan data se menggunakan domain yang sah, sama ada menggunakan pelayan e-mel yang sebelumnya dikompromikan atau dengan bantuan bukti kelayakan API yang dicuri dari penyedia perkhidmatan e-mel pukal yang sah.
Penyerang tMereka juga menggunakan perkhidmatan pemendekan URL direka untuk menyembunyikan URL halaman arahan. Mereka bahkan menyatukan pelbagai perkhidmatan pemendekan URL untuk menjadikan pengesanan menjadi lebih sukar. Selain itu, penggunaan pengalihan berasaskan PHP dari laman web yang dikompromikan dikesan.
Beberapa cara untuk mempertahankan diri daripada serangan
Menurut cadangan mereka yang bertanggungjawab untuk keselamatan, lebih baik jika anda mempunyai akaun GitHub anda melakukan perkara berikut:
- Tukar kata laluan
- Tetapkan semula kod pemulihan dalam dua langkah.
- Semak token akses peribadi.
- Tukar ke perkakasan atau pengesahan WebAuthn.
- Gunakan pengurus kata laluan berasaskan penyemak imbas. Ini memberikan tahap perlindungan terhadap pishing kerana mereka akan menyedari bahawa itu bukan pautan yang pernah dikunjungi sebelumnya.
Dan tentu saja, yang tidak pernah gagal. Jangan sekali-kali klik pada pautan yang dihantar kepada anda melalui e-mel. Tulis alamat secara manual atau masukkan ke dalam penanda buku.
Bagaimanapun, ia adalah berita yang mengejutkan. Kami tidak membincangkan rangkaian sosial tetapi laman web yang mengikut keterangannya sendiri adalah:
platform pengembangan perisian kolaboratif untuk menjadi tuan rumah projek menggunakan sistem kawalan versi Git. Kod tersebut disimpan secara terbuka, walaupun ia juga dapat dilakukan secara tertutup ...
Dengan kata lain, penggunanya adalah orang yang membuat aplikasi yang kita gunakan dan oleh itu yang harus menambahkan ciri keselamatan. Ia seperti mencuri dari Jabatan Polis.