2020 nie jest to dobry rok pod względem bezpieczeństwa komputerowego. David powiedziałem im innego dnia sprzedaż kont Zoom. I na to wygląda tym razem przyszła kolej na GitHub, usługę hostingu i kontroli wersji firmy Microsoft. Zgłoszono, że wielu jego użytkowników jest ofiarami kampanii phishingowej zaprojektowanej specjalnie w celu zbierania i kradzieży ich danych uwierzytelniających poprzez apokryficzne strony, które naśladują stronę logowania GitHub.
Konta GitHub zostały skradzione. Prawdziwe zagrożenie dla programistów i użytkowników
Zaraz po przejęciu kontroli nad kontem, onAtakujący przystępują do bezzwłocznego pobierania zawartości prywatnych repozytoriów, podkreślając tych, którzy należą do kont organizacji i innych współpracowników.
Według zespołu reagowania na incydenty bezpieczeństwa (SIRT) GitHub, są to zagrożenia
Jeśli atakujący skutecznie wykradnie dane uwierzytelniające konta użytkownika GitHub, może szybko utworzyć osobiste tokeny dostępu GitHub lub autoryzować aplikacje OAuth na koncie, aby zachować dostęp na wypadek zmiany hasła przez użytkownika.
Według SIRT ta kampania phishingowa o nazwie Sawfish, może mieć wpływ na wszystkie aktywne konta GitHub.
Głównym narzędziem dostępu do kont jest poczta e-mail. Wiadomości wykorzystują różne sztuczki, aby skłonić odbiorców do kliknięcia złośliwego łącza zawartego w tekście: niektórzy twierdzą, że wykryto nieautoryzowaną aktywność, podczas gdy inni wspominają o zmianach w repozytoriach lub ustawieniach konta użytkownika docelowego.
Użytkownicy, którzy ulegli oszustwu i klikają, aby sprawdzić aktywność na swoim koncie Następnie są przekierowywani na fałszywą stronę logowania GitHub, która zbiera ich dane uwierzytelniające i wysyła je na serwery kontrolowane przez atakującego.
Fałszywa strona używana przez atakujących otrzymasz również dwustopniowe kody uwierzytelniające w czasie rzeczywistym ofiar, jeśli używają aplikacji mobilnej z jednorazowym hasłem czasowym (TOTP).
W przypadku SIRT dotychczas konta chronione sprzętowymi kluczami bezpieczeństwa nie są narażone na ten atak.
Tak działa atak
Z tego, co wiadomo, preferowanymi ofiarami tej kampanii phishingowej są obecnie aktywni użytkownicy GitHub pracujący dla firm technologicznych w różnych krajach i robią to za pomocą adresów e-mail, które są publicznie znane.
Aby wysłać e-maile phishingoweKorzystamy z legalnych domen, korzystając z wcześniej przejętych serwerów poczty elektronicznej lub z pomocą skradzionych danych uwierzytelniających API od legalnych dostawców usług poczty masowej.
Atakujący tKorzystają również z usług skracania adresów URL zaprojektowane do ukrycia adresów URL stron docelowych. Łączą nawet wiele usług skracania adresów URL, aby jeszcze bardziej utrudnić wykrywanie. Ponadto wykryto przekierowania oparte na PHP z zaatakowanych witryn.
Kilka sposobów na obronę przed atakiem
Zgodnie z zaleceniami osób odpowiedzialnych za bezpieczeństwo, jeśli posiadasz konto GitHub, wykonaj następujące czynności:
- Zmień hasło
- Zresetuj kody odzyskiwania w dwóch krokach.
- Przejrzyj osobiste tokeny dostępu.
- Przełącz się na uwierzytelnianie sprzętowe lub WebAuthn.
- Użyj menedżera haseł opartego na przeglądarce. Zapewniają one pewien stopień ochrony przed pishingiem, ponieważ zdadzą sobie sprawę, że nie jest to wcześniej odwiedzane łącze.
I oczywiście taki, który nigdy nie zawodzi. Nigdy nie klikaj linku wysłanego do Ciebie e-mailem. Wpisz adres ręcznie lub umieść go w zakładkach.
Zresztą to zaskakująca wiadomość. Nie mówimy o sieci społecznościowej, ale o witrynie, która według własnego opisu to:
platforma do tworzenia oprogramowania do współpracy w celu obsługi projektów przy użyciu systemu kontroli wersji Git. Kod jest przechowywany publicznie, chociaż można to również zrobić prywatnie ...
Innymi słowy, jego użytkownikami są osoby, które tworzą aplikacje, z których korzystamy, a zatem muszą dodawać funkcje bezpieczeństwa. To trochę jak kradzież z policji.