2020 het wordt geen goed jaar op het gebied van computerbeveiliging. David vertelde hen onlangs de verkoop van Zoom-accounts. En het lijkt erop dat dit keer was het de beurt aan GitHub, de hosting- en versiebeheerservice van Microsoft. Dat werd gemeld veel van zijn gebruikers worden het slachtoffer van een phishing-campagne die speciaal is ontworpen om hun inloggegevens te verzamelen en te stelen via apocriefe pagina's die de inlogpagina van GitHub nabootsen.
GitHub-accounts zijn gestolen. Een reëel gevaar voor ontwikkelaars en gebruikers
Meteen nadat hij de controle over een account had genomen, nam hijDe aanvallers gaan onmiddellijk verder met het downloaden van de inhoud van de privérepository's, de nadruk leggen op degenen die Ze zijn eigendom van de accounts van de organisatie en andere medewerkers.
Volgens het Security Incident Response Team (SIRT) van GitHub zijn dit de risico's
Als de aanvaller met succes de inloggegevens van het GitHub-gebruikersaccount steelt, kunnen ze snel persoonlijke GitHub-toegangstokens maken of OAuth-toepassingen op het account autoriseren om de toegang te behouden voor het geval de gebruiker zijn wachtwoord wijzigt.
Volgens de SIRT is deze phishing-campagne genaamd Sawfish, het kan alle actieve GitHub-accounts beïnvloeden.
De belangrijkste tool om toegang te krijgen tot accounts is e-mail De berichten gebruiken verschillende trucs om ontvangers ertoe te brengen op de kwaadaardige link in de tekst te klikken: sommigen zeggen dat er ongeautoriseerde activiteit is gedetecteerd, terwijl anderen melding maken van wijzigingen in opslagplaatsen of in de accountinstellingen van de doelgebruiker.
Gebruikers die vallen voor het bedrog en klikken om hun accountactiviteit te controleren Ze worden vervolgens omgeleid naar een valse GitHub-inlogpagina die hun inloggegevens verzamelt en deze naar servers stuurt die door de aanvaller worden beheerd.
De neppagina die door de aanvallers wordt gebruikt u krijgt ook de tweestapsverificatiecodes in realtime van de slachtoffers als ze een op tijd gebaseerde mobiele app voor eenmalig wachtwoord (TOTP) gebruiken.
Voor de SIRT zijn accounts die zijn beveiligd met op hardware gebaseerde beveiligingssleutels tot dusverre niet kwetsbaar voor deze aanval.
Dit is hoe de aanval werkt
Voor zover bekend, de voorkeursslachtoffers van deze phishing-campagne zijn momenteel actieve GitHub-gebruikers die voor techbedrijven in verschillende landen werken en ze doen dit met behulp van e-mailadressen die algemeen bekend zijn.
Om phishing-e-mails te verzendene gebruiken legitieme domeinen, hetzij met eerder gecompromitteerde e-mailservers, hetzij met behulp van gestolen API-inloggegevens van legitieme providers van bulk-e-mailservices.
De aanvallers tZe maken ook gebruik van URL-verkortingsservices ontworpen om de URL's van de bestemmingspagina's te verbergen. Ze koppelen zelfs meerdere URL-verkortingsservices aan elkaar om detectie nog moeilijker te maken. Bovendien werd het gebruik van op PHP gebaseerde omleidingen van de gecompromitteerde sites gedetecteerd.
Enkele manieren om je tegen aanvallen te verdedigen
Volgens de aanbevelingen van degenen die verantwoordelijk zijn voor beveiliging, moet je het volgende doen als je een GitHub-account hebt:
- Verander wachtwoord
- Reset de herstelcodes in twee stappen.
- Bekijk persoonlijke toegangstokens.
- Schakel over naar hardware- of WebAuthn-verificatie.
- Gebruik een browsergebaseerde wachtwoordbeheerder. Deze bieden een zekere mate van bescherming tegen pishing, aangezien ze zullen beseffen dat het geen eerder bezochte link is.
En natuurlijk een die nooit faalt. Klik nooit op een link die per e-mail naar u is verzonden. Schrijf het adres handmatig of laat het in bladwijzers staan.
Het is in ieder geval verrassend nieuws. We hebben het niet over een sociaal netwerk maar over een site die volgens zijn eigen beschrijving is:
een samenwerkingsplatform voor softwareontwikkeling om projecten te hosten met behulp van het Git-versiebeheersysteem. De code wordt openbaar opgeslagen, hoewel het ook privé kan worden gedaan ...
Met andere woorden, de gebruikers zijn de mensen die de applicaties maken die we gebruiken en daarom beveiligingsfuncties moeten toevoegen. Het is net zoiets als stelen van de politie.