2020 det är inte ett bra år när det gäller datasäkerhet. David sa han till dem häromdagen försäljning av Zoom-konton. Och det verkar det den här gången var det GitHub, Microsofts värd- och versionskontrolltjänst. Det rapporterades att många av dess användare blir offer för en phishing-kampanj som är utformad speciellt för att samla in och stjäla deras referenser genom apokryfiska sidor som efterliknar GitHub-inloggningssidan.
GitHub-konton är stulna. En verklig fara för utvecklare och användare
Omedelbart efter att ha tagit kontroll över ett konto, hanAngriparna fortsätter att ladda ner innehållet i de privata förvaren utan dröjsmål, betonar de som De tillhör organisationens konton och andra medarbetare.
Enligt GitHubs Security Incident Response Team (SIRT) är detta riskerna
Om angriparen lyckas stjäla referenserna för GitHub-användarkontot kan de snabbt skapa personliga GitHub-åtkomsttoken eller auktorisera OAuth-applikationer på kontot för att bevara åtkomst om användaren ändrar sitt lösenord.
Enligt SIRT kallade denna phishing-kampanj Sawfish, det kan påverka alla aktiva GitHub-konton.
Huvudverktyget för att komma åt konton är e-post. Meddelandena använder olika knep för att få mottagare att klicka på den skadliga länken som ingår i texten: vissa säger att obehörig aktivitet upptäcktes, medan andra nämner ändringar i förvar eller i målanvändarens kontoinställningar.
Användare som faller för bedrägeriet och klickar för att kontrollera deras kontoaktivitet De omdirigeras sedan till en falsk GitHub-inloggningssida som samlar in deras referenser och skickar dem till servrar som kontrolleras av angriparen.
Den falska sidan som används av angriparna du får också tvåstegs autentiseringskoder i realtid om de använder en tidsbaserad engångslösenord (TOTP) mobilapp.
För SIRT hittills är konton som skyddas av hårdvarubaserade säkerhetsnycklar inte utsatta för denna attack.
Så här fungerar attacken
Så vitt är känt, de föredragna offren för denna nätfiske-kampanj är för närvarande aktiva GitHub-användare som arbetar för teknikföretag i olika länder och de gör det med e-postadresser som är allmänt kända.
För att skicka phishing-e-postmeddelanden se använder legitima domäner, antingen med hjälp av tidigare komprometterade e-postservrar eller med hjälp av stulna API-referenser från legitima leverantörer av e-posttjänster i bulk.
Angriparna tDe använder också tjänster för förkortning av URL utformad för att dölja webbadresserna till målsidorna. De kombinerar även flera URL-förkortningstjänster tillsammans för att göra upptäckten ännu svårare. Dessutom upptäcktes användningen av PHP-baserade omdirigeringar från komprometterade webbplatser.
Några sätt att försvara sig från attacker
Enligt rekommendationerna från de ansvariga för säkerheten bör du göra följande om du har ett GitHub-konto:
- Ändra lösenord
- Återställ återställningskoderna i två steg.
- Granska personliga åtkomsttoken.
- Byt till hårdvara eller WebAuthn-autentisering.
- Använd en webbläsarbaserad lösenordshanterare. Dessa ger ett visst skydd mot pishing eftersom de kommer att inse att det inte är en tidigare besökt länk.
Och naturligtvis en som aldrig misslyckas. Klicka aldrig på en länk som skickas till dig via e-post. Skriv adressen manuellt eller ha den i bokmärken.
Hur som helst, det är förvånande nyheter. Vi pratar inte om ett socialt nätverk utan om en webbplats som enligt sin egen beskrivning är:
en samarbetsplattform för mjukvaruutveckling för att vara värd för projekt med Git-versionskontrollsystemet. Koden lagras offentligt, även om den också kan göras privat ...
Med andra ord är dess användare de personer som skapar de applikationer som vi använder och därför måste lägga till säkerhetsfunktioner. Det är som att stjäla från polisavdelningen.