2020 Não é um bom ano em termos de segurança informática. David ele disse-lhes outro dia a venda de contas Zoom. E parece que desta vez foi a vez do GitHub, serviço de hospedagem e controle de versão da Microsoft. Foi relatado que muitos de seus usuários estão sendo vítimas de uma campanha de phishing desenvolvida especificamente para coletar e roubar suas credenciais por meio de páginas apócrifas que imitam a página de login do GitHub.
As contas do GitHub são roubadas. Um perigo real para desenvolvedores e usuários
Imediatamente após assumir o controle de uma conta, eleOs invasores procedem ao download do conteúdo dos repositórios privados sem demora, enfatizando aqueles que Eles são propriedade das contas da organização e de outros colaboradores.
De acordo com a Equipe de Resposta a Incidentes de Segurança (SIRT) do GitHub, esses são os riscos
Se o invasor roubar com sucesso as credenciais da conta de usuário do GitHub, ele pode criar rapidamente tokens de acesso pessoais do GitHub ou autorizar aplicativos OAuth na conta para preservar o acesso caso o usuário altere sua senha.
De acordo com o SIRT, esta campanha de phishing chamada Sawfish, pode afetar todas as contas ativas do GitHub.
A principal ferramenta para acessar contas é o e-mail. As mensagens usam vários truques para fazer os destinatários clicarem no link malicioso incluído no texto: alguns dizem que foi detectada atividade não autorizada, enquanto outros mencionam alterações nos repositórios ou nas configurações da conta do usuário-alvo.
Usuários que caem no engano e clicam para verificar a atividade da conta Eles são então redirecionados para uma página de login falsa do GitHub que coleta suas credenciais e as envia para servidores controlados pelo invasor.
A página falsa usada pelos invasores você também obterá os códigos de autenticação de duas etapas em tempo real das vítimas se estiverem usando um aplicativo móvel de senha única baseada em tempo (TOTP).
Para o SIRT até agora, as contas protegidas por chaves de segurança baseadas em hardware não são vulneráveis a este ataque.
É assim que o ataque funciona
Tanto quanto se sabe, as vítimas preferenciais desta campanha de phishing são atualmente usuários ativos do GitHub que trabalham para empresas de tecnologia em vários países e o fazem usando endereços de e-mail conhecidos publicamente.
Para enviar e-mails de phishing se usar domínios legítimos, seja usando servidores de e-mail previamente comprometidos ou com a ajuda de credenciais de API roubadas de provedores de serviços de e-mail em massa legítimos.
Os atacantes tEles também usam serviços de encurtamento de URL projetado para ocultar os URLs das páginas de destino. Eles até encadeiam vários serviços de encurtamento de URL para tornar a detecção ainda mais difícil. Além disso, o uso de redirecionamentos baseados em PHP de sites comprometidos foi detectado.
Algumas maneiras de se defender de ataques
De acordo com as recomendações dos responsáveis pela segurança, se você tiver uma conta GitHub, deve fazer o seguinte:
- Alterar senha
- Redefina os códigos de recuperação em duas etapas.
- Revise os tokens de acesso pessoais.
- Mude para hardware ou autenticação WebAuthn.
- Use um gerenciador de senhas baseado em navegador. Eles fornecem um certo grau de proteção contra pishing, pois perceberão que não se trata de um link visitado anteriormente.
E, claro, um que nunca falha. Nunca clique em um link enviado a você por e-mail. Escreva o endereço manualmente ou mantenha-o nos favoritos.
Enfim, é uma notícia surpreendente. Não estamos falando de uma rede social, mas de um site que segundo sua própria descrição é:
uma plataforma de desenvolvimento de software colaborativo para hospedar projetos usando o sistema de controle de versão Git. O código é armazenado publicamente, embora também possa ser feito em particular ...
Em outras palavras, seus usuários são as pessoas que criam os aplicativos que usamos e, portanto, que devem adicionar recursos de segurança. É como roubar do Departamento de Polícia.