2020 nu este un an bun în ceea ce privește securitatea computerului. David le-am spus zilele trecute vânzarea conturilor Zoom. Și se pare că de data aceasta a venit rândul GitHub, serviciul de găzduire și control al versiunilor Microsoft. S-a raportat că mulți dintre utilizatorii săi sunt victimele unei campanii de phishing concepute special pentru a colecta și a le fura acreditările prin pagini apocrife care imită pagina de autentificare GitHub.
Conturile GitHub sunt furate. Un pericol real pentru dezvoltatori și utilizatori
Imediat după preluarea controlului unui cont, elAtacatorii continuă să descarce fără întârziere conținutul depozitelor private, subliniind pe cei care Acestea sunt proprietatea conturilor organizației și a altor colaboratori.
Potrivit echipei de răspuns la incidente de securitate (SIRT) a GitHub, acestea sunt riscurile
Dacă atacatorul fură cu succes acreditările contului de utilizator GitHub, acesta poate crea rapid jetoane personale de acces GitHub sau poate autoriza aplicațiile OAuth din cont pentru a păstra accesul în cazul în care utilizatorul își schimbă parola.
Potrivit SIRT, această campanie de phishing numită Sawfish, poate afecta toate conturile GitHub active.
Instrumentul principal pentru accesarea conturilor este e-mailul. Mesajele folosesc diverse trucuri pentru a determina destinatarii să facă clic pe linkul rău intenționat inclus în text: unii spun că a fost detectată activitate neautorizată, în timp ce alții menționează modificări ale depozitelor sau ale setărilor contului utilizatorului țintă.
Utilizatorii care se încadrează în înșelăciune și fac clic pentru a verifica activitatea contului lor Acestea sunt apoi redirecționate către o pagină falsă de autentificare GitHub care le colectează acreditările și le trimite către serverele controlate de atacator.
Pagina falsă folosită de atacatori veți obține, de asemenea, codurile de autentificare în doi pași în timp real victimelor dacă utilizează o aplicație mobilă cu parolă unică (TOTP) bazată pe timp.
Pentru SIRT până acum, conturile protejate de chei de securitate bazate pe hardware nu sunt vulnerabile la acest atac.
Așa funcționează atacul
Din câte se știe, victimele preferate ale acestei campanii de phishing sunt în prezent utilizatori activi de GitHub care lucrează pentru companii de tehnologie din diferite țări și fac acest lucru folosind adrese de e-mail cunoscute public.
Pentru a trimite e-mailuri de phishingFolosesc domenii legitime, fie folosind servere de e-mail compromise anterior, fie cu ajutorul acreditării API furate de la furnizori de servicii de e-mail în bloc legitimi.
Atacatorii tDe asemenea, utilizează serviciile de scurtare a adreselor URL conceput pentru a ascunde adresele URL ale paginilor de destinație. Ei chiar lanțează mai multe servicii de scurtare a URL-urilor pentru a face detectarea și mai dificilă. În plus, a fost detectată utilizarea redirecționărilor bazate pe PHP de pe site-uri compromise.
Câteva modalități de a te apăra de atac
Conform recomandărilor celor responsabili de securitate, dacă aveți un cont GitHub, ar trebui să faceți următoarele:
- Schimba parola
- Resetați codurile de recuperare în doi pași.
- Examinați jetoanele de acces personal.
- Treceți la autentificare hardware sau WebAuthn.
- Utilizați un manager de parole bazat pe browser. Acestea oferă un grad de protecție împotriva pishingului, deoarece își vor da seama că nu este un link vizitat anterior.
Și, desigur, unul care nu dă greș niciodată. Nu faceți niciodată clic pe un link trimis prin e-mail. Scrieți adresa manual sau puneți-o în marcaje.
Oricum, este o veste surprinzătoare. Nu vorbim despre o rețea socială, ci despre un site care, conform propriei descrieri, este:
o platformă de dezvoltare software colaborativă pentru a găzdui proiecte folosind sistemul de control al versiunilor Git. Codul este stocat public, deși poate fi făcut și privat ...
Cu alte cuvinte, utilizatorii săi sunt oamenii care creează aplicațiile pe care le folosim și, prin urmare, care trebuie să adauge caracteristici de securitate. E ca și cum ai fura de la poliție.