2020 Det er ikke et godt år når det gjelder datasikkerhet. David fortalte dem forleden salg av Zoom-kontoer. Og det ser ut til at denne gangen var det turen til GitHub, Microsofts hosting- og versjonskontrolltjeneste. Det ble rapportert at mange av brukerne blir ofre for en phishing-kampanje designet spesielt for å samle inn og stjele legitimasjonen gjennom apokryfe sider som etterligner GitHub-påloggingssiden.
GitHub-kontoer blir stjålet. En reell fare for utviklere og brukere
Rett etter å ha tatt kontroll over en konto, hanAngriperne fortsetter å laste ned innholdet i de private arkivene uten forsinkelse, understreker de som De tilhører organisasjonens kontoer og andre samarbeidspartnere.
I følge GitHubs Security Incident Response Team (SIRT) er dette risikoen
Hvis angriperen stjeler legitimasjonen til GitHub-brukerkontoen, kan de raskt opprette personlige GitHub-tilgangstokener eller autorisere OAuth-applikasjoner på kontoen for å bevare tilgangen i tilfelle brukeren endrer passordet.
I følge SIRT kalte denne phishing-kampanjen Sawfish, det kan påvirke alle aktive GitHub-kontoer.
Hovedverktøyet for å få tilgang til kontoer er e-post. Meldingene bruker forskjellige triks for å få mottakere til å klikke på den ondsinnede lenken som er inkludert i teksten: noen sier at det ble oppdaget uautorisert aktivitet, mens andre nevner endringer i depoter eller i målbrukerens kontoinnstillinger.
Brukere som faller for bedrag og klikker for å sjekke kontoaktiviteten sin De blir deretter omdirigert til en falsk GitHub-påloggingsside som samler legitimasjonen deres og sender dem til servere som kontrolleres av angriperen.
Den falske siden som brukes av angriperne du vil også få totrinns autentiseringskoder i sanntid ofre hvis de bruker en tidsbasert engangspassord (TOTP) mobilapp.
For SIRT så langt er ikke kontoer beskyttet av maskinvarebaserte sikkerhetsnøkler sårbare for dette angrepet.
Slik fungerer angrepet
Så vidt det er kjent, de foretrukne ofrene for denne phishing-kampanjen er for tiden aktive GitHub-brukere som jobber for teknologibedrifter i forskjellige land og de gjør det ved hjelp av e-postadresser som er offentlig kjent.
For å sende phishing-e-post se bruker legitime domener, enten ved hjelp av tidligere kompromitterte e-postservere eller ved hjelp av stjålet API-legitimasjon fra legitime masseleverandører av e-posttjenester.
Angriperne tDe bruker også URL-forkortelsestjenester designet for å skjule nettadressene til destinasjonssidene. De kobler til og med flere URL-forkortelsestjenester sammen for å gjøre deteksjonen enda vanskeligere. I tillegg ble bruk av PHP-baserte viderekoblinger fra kompromitterte nettsteder oppdaget.
Noen måter å forsvare seg mot angrep på
I følge anbefalingene fra sikkerhetsansvarlige, hvis du har en GitHub-konto, bør du gjøre følgende:
- Endre passord
- Tilbakestill gjenopprettingskodene i to trinn.
- Gjennomgå personlige tilgangstokener.
- Bytt til maskinvare eller WebAuthn-godkjenning.
- Bruk en nettleserbasert passordbehandling. Disse gir en viss beskyttelse mot pishing, da de vil innse at det ikke er en tidligere besøkt lenke.
Og selvfølgelig en som aldri svikter. Klikk aldri på en lenke som blir sendt til deg via e-post. Skriv adressen manuelt eller ha den i bokmerker.
Uansett er det overraskende nyheter. Vi snakker ikke om et sosialt nettverk, men et nettsted som ifølge sin egen beskrivelse er:
en samarbeidende programvareutviklingsplattform for å være vert for prosjekter ved hjelp av Git versjonskontrollsystem. Koden lagres offentlig, selv om den også kan gjøres privat ...
Med andre ord, brukerne er menneskene som lager applikasjonene vi bruker, og som derfor må legge til sikkerhetsfunksjoner. Det er som å stjele fra politidepartementet.