2020 கணினி பாதுகாப்பைப் பொறுத்தவரை இது ஒரு நல்ல ஆண்டாக இல்லை. டேவிட் அவர்களிடம் கூறினார் மற்ற நாள் ஜூம் கணக்குகளின் விற்பனை. அது தெரிகிறது இந்த முறை மைக்ரோசாப்டின் ஹோஸ்டிங் மற்றும் பதிப்பு கட்டுப்பாட்டு சேவையான கிட்ஹப்பின் முறை. என்று தெரிவிக்கப்பட்டது அதன் பயனர்களில் பலர் தங்கள் நற்சான்றிதழ்களை சேகரித்து திருடுவதற்காக வடிவமைக்கப்பட்ட ஃபிஷிங் பிரச்சாரத்தின் பலியாக உள்ளனர் கிட்ஹப் உள்நுழைவு பக்கத்தைப் பிரதிபலிக்கும் அபோக்ரிபல் பக்கங்கள் மூலம்.
கிட்ஹப் கணக்குகள் திருடப்பட்டுள்ளன. டெவலப்பர்களுக்கும் பயனர்களுக்கும் ஒரு உண்மையான ஆபத்து
ஒரு கணக்கின் கட்டுப்பாட்டை எடுத்த உடனேயே, அவர்தாக்குதல் நடத்தியவர்கள் தனியார் களஞ்சியங்களின் உள்ளடக்கங்களை தாமதமின்றி பதிவிறக்கம் செய்கிறார்கள், யார் வலியுறுத்துகிறது அவை நிறுவனத்தின் கணக்குகள் மற்றும் பிற ஒத்துழைப்பாளர்களின் சொத்து.
கிட்ஹப்பின் பாதுகாப்பு நிகழ்வு மறுமொழி குழு (SIRT) படி, இவை ஆபத்துகள்
GitHub பயனர் கணக்கின் நற்சான்றிதழ்களைத் தாக்குபவர் வெற்றிகரமாகத் திருடினால், அவர்கள் விரைவாக தனிப்பட்ட GitHub அணுகல் டோக்கன்களை உருவாக்கலாம் அல்லது பயனர் கடவுச்சொல்லை மாற்றினால் அணுகலைப் பாதுகாக்க கணக்கில் OAuth பயன்பாடுகளை அங்கீகரிக்கலாம்.
SIRT இன் படி, சாஃபிஷ் என்று அழைக்கப்படும் இந்த ஃபிஷிங் பிரச்சாரம், இது அனைத்து செயலில் உள்ள GitHub கணக்குகளையும் பாதிக்கும்.
கணக்குகளை அணுகுவதற்கான முக்கிய கருவி மின்னஞ்சல். உரையில் சேர்க்கப்பட்டுள்ள தீங்கிழைக்கும் இணைப்பைக் கிளிக் செய்வதற்கு பெறுநர்களைப் பெற செய்திகள் பல்வேறு தந்திரங்களைப் பயன்படுத்துகின்றன: சிலர் அங்கீகரிக்கப்படாத செயல்பாடு கண்டறியப்பட்டதாகக் கூறுகிறார்கள், மற்றவர்கள் களஞ்சியங்களில் அல்லது இலக்கு பயனரின் கணக்கு அமைப்புகளில் மாற்றங்களைக் குறிப்பிடுகின்றனர்.
மோசடிக்கு ஆளான பயனர்கள் மற்றும் அவர்களின் கணக்கு செயல்பாட்டை சரிபார்க்க கிளிக் செய்க பின்னர் அவை போலி கிட்ஹப் உள்நுழைவு பக்கத்திற்கு திருப்பி விடப்படுகின்றன, அவை அவற்றின் சான்றுகளை சேகரித்து தாக்குபவரால் கட்டுப்படுத்தப்படும் சேவையகங்களுக்கு அனுப்புகின்றன.
தாக்குதல் நடத்தியவர்கள் பயன்படுத்தும் போலி பக்கம் நிகழ்நேரத்தில் இரண்டு-படி அங்கீகார குறியீடுகளையும் பெறுவீர்கள் பாதிக்கப்பட்டவர்கள் நேர அடிப்படையிலான ஒரு முறை கடவுச்சொல் (TOTP) மொபைல் பயன்பாட்டைப் பயன்படுத்தினால்.
இதுவரை SIRT ஐப் பொறுத்தவரை, வன்பொருள் அடிப்படையிலான பாதுகாப்பு விசைகளால் பாதுகாக்கப்பட்ட கணக்குகள் இந்த தாக்குதலுக்கு பாதிக்கப்படாது.
தாக்குதல் எவ்வாறு செயல்படுகிறது
தெரிந்தவரை, இந்த ஃபிஷிங் பிரச்சாரத்தின் விருப்பமான பாதிக்கப்பட்டவர்கள் தற்போது பல்வேறு நாடுகளில் தொழில்நுட்ப நிறுவனங்களுக்காக பணிபுரியும் செயலில் உள்ள கிட்ஹப் பயனர்கள் பொதுவில் அறியப்பட்ட மின்னஞ்சல் முகவரிகளைப் பயன்படுத்தி அவர்கள் அவ்வாறு செய்கிறார்கள்.
ஃபிஷிங் மின்னஞ்சல்களை அனுப்பமுன்னர் சமரசம் செய்யப்பட்ட மின்னஞ்சல் சேவையகங்களைப் பயன்படுத்தி அல்லது திருடப்பட்ட API நற்சான்றிதழ்களின் உதவியுடன் முறையான களங்களைப் பயன்படுத்துங்கள் முறையான மொத்த மின்னஞ்சல் சேவை வழங்குநர்களிடமிருந்து.
தாக்குதல் நடத்தியவர்கள் டிஅவர்கள் URL குறைக்கும் சேவைகளையும் பயன்படுத்துகின்றனர் இறங்கும் பக்கங்களின் URL களை மறைக்க வடிவமைக்கப்பட்டுள்ளது. கண்டறிதலை இன்னும் கடினமாக்குவதற்காக அவை பல URL சுருக்கச் சேவைகளை ஒன்றாக இணைக்கின்றன. கூடுதலாக, சமரசம் செய்யப்பட்ட தளங்களிலிருந்து PHP- அடிப்படையிலான வழிமாற்றுகளின் பயன்பாடு கண்டறியப்பட்டது.
தாக்குதலுக்கு எதிராக பாதுகாக்க சில வழிகள்
பாதுகாப்புக்கு பொறுப்பானவர்களின் பரிந்துரைகளின்படி, உங்களிடம் கிட்ஹப் கணக்கு இருந்தால், பின்வருவனவற்றை நீங்கள் செய்ய வேண்டும்:
- கடவுச்சொல்லை மாற்றவும்
- மீட்டெடுப்பு குறியீடுகளை இரண்டு படிகளில் மீட்டமைக்கவும்.
- தனிப்பட்ட அணுகல் டோக்கன்களை மதிப்பாய்வு செய்யவும்.
- வன்பொருள் அல்லது WebAuthn அங்கீகாரத்திற்கு மாறவும்.
- உலாவி அடிப்படையிலான கடவுச்சொல் நிர்வாகியைப் பயன்படுத்தவும். இவை முன்னர் பார்வையிட்ட இணைப்பு அல்ல என்பதை அவர்கள் உணருவதால், பிஷிங்கிற்கு எதிராக அவை ஒரு அளவிலான பாதுகாப்பை வழங்குகின்றன.
நிச்சயமாக, ஒருபோதும் தோல்வியடையாத ஒன்று. மின்னஞ்சல் மூலம் உங்களுக்கு அனுப்பப்படும் இணைப்பைக் கிளிக் செய்ய வேண்டாம். முகவரியை கைமுறையாக எழுதுங்கள் அல்லது புக்மார்க்குகளில் வைத்திருங்கள்.
எப்படியிருந்தாலும், இது ஆச்சரியமான செய்தி. நாங்கள் ஒரு சமூக வலைப்பின்னலைப் பற்றி பேசவில்லை, ஆனால் அதன் சொந்த விளக்கத்தின்படி ஒரு தளம்:
Git பதிப்பு கட்டுப்பாட்டு முறையைப் பயன்படுத்தி திட்டங்களை ஹோஸ்ட் செய்ய ஒரு கூட்டு மென்பொருள் மேம்பாட்டு தளம். குறியீடு பொதுவில் சேமிக்கப்படுகிறது, இருப்பினும் இது தனிப்பட்ட முறையில் செய்யப்படலாம் ...
வேறு வார்த்தைகளில் கூறுவதானால், அதன் பயனர்கள் நாங்கள் பயன்படுத்தும் பயன்பாடுகளை உருவாக்கும் நபர்கள், எனவே பாதுகாப்பு அம்சங்களைச் சேர்க்க வேண்டும். இது காவல் துறையிலிருந்து திருடுவது போன்றது.