2020 hindi ito isang magandang taon sa mga tuntunin ng seguridad ng computer. David sinabi sa kanila noong isang araw ang pagbebenta ng mga Zoom account. At parang ganun oras na ito ay ang turn ng GitHub, ang hosting ng Microsoft at serbisyo sa kontrol ng bersyon. Naiulat na marami sa mga gumagamit nito ay biktima ng isang kampanya sa phishing na partikular na idinisenyo upang kolektahin at magnakaw ng kanilang mga kredensyal sa pamamagitan ng mga pahinang apocryphal na gumagaya sa pahina ng pag-login ng GitHub.
Ninakaw ang mga GitHub account. Isang tunay na panganib para sa mga developer at gumagamit
Kaagad pagkatapos makontrol ang isang account, siyaAng mga umaatake ay nagpatuloy na i-download ang mga nilalaman ng pribadong mga repository nang walang pagkaantala, binibigyang diin ang mga na ay pag-aari ng mga account ng samahan at iba pang mga tagatulong.
Ayon sa GitHub's Security Incident Response Team (SIRT), ito ang mga panganib
Kung matagumpay na nakawin ng umaatake ang mga kredensyal ng GitHub user account, mabilis silang makakalikha ng mga personal na token sa pag-access ng GitHub o pahintulutan ang mga application ng OAuth sa account upang mapanatili ang pag-access kung sakaling baguhin ng gumagamit ang kanilang password.
Ayon sa SIRT, ang kampanya sa phishing na ito na tinawag na Sawfish, maaari itong makaapekto sa lahat ng mga aktibong GitHub account.
Ang pangunahing tool upang ma-access ang mga account ay email. Gumagamit ang mga mensahe ng iba't ibang mga trick upang makakuha ng mga tatanggap na mag-click sa nakakahamak na link na kasama sa teksto: sinasabi ng ilan na ang hindi pinahintulutang aktibidad ay nakita, habang ang iba ay nagbanggit ng mga pagbabago sa mga repository o sa mga setting ng account ng target na gumagamit.
Ang mga gumagamit na nahuhulog sa panlilinlang at nag-click upang suriin ang kanilang aktibidad sa account Pagkatapos ay mai-redirect ang mga ito sa isang pekeng pahina ng pag-login ng GitHub na kinokolekta ang kanilang mga kredensyal at ipinapadala ang mga ito sa mga server na kinokontrol ng umaatake.
Ang pekeng pahina na ginamit ng mga umaatake makukuha mo rin ang real-time na dalawang-hakbang na mga code sa pagpapatotoo ng mga biktima kung gumagamit sila ng isang naka-time na one-time password (TOTP) mobile app.
Para sa SIRT sa ngayon, ang mga account na protektado ng mga security key na nakabatay sa hardware ay hindi madaling maapektuhan sa pag-atake na ito.
Ganito gumagana ang pag-atake
Sa pagkakaalam, ang ginustong biktima ng kampanya sa phishing na ito ay kasalukuyang aktibong mga gumagamit ng GitHub na nagtatrabaho para sa mga tech na kumpanya sa iba't ibang mga bansa at ginagawa nila ito gamit ang mga email address na alam ng publiko.
Upang magpadala ng mga email sa phishing sgumagamit kami ng mga lehitimong domain, alinman sa paggamit ng dating nakompromiso na mga email server o sa tulong ng mga ninakaw na kredensyal ng API mula sa lehitimong maramihang mga nagbibigay ng serbisyo sa email.
Ang mga umaatake tGinagamit din nila ang mga serbisyo sa pagpapaikli ng URL idinisenyo upang itago ang mga URL ng mga landing page. Pinagsama rin nila ang maramihang mga pagpapaikli ng mga serbisyo ng URL upang gawing mas mahirap ang pagtuklas. Bukod pa rito, nakita ang paggamit ng mga pag-redirect na batay sa PHP mula sa mga nakompromisong site.
Ang ilang mga paraan upang ipagtanggol ang iyong sarili mula sa pag-atake
Ayon sa mga rekomendasyon ng mga responsable para sa seguridad, maginhawa na kung mayroon kang isang account sa GitHub gagawin mo ang sumusunod:
- Baguhin ang password
- I-reset ang mga recovery code sa dalawang hakbang.
- Suriin ang mga token sa personal na pag-access.
- Lumipat sa hardware o pagpapatotoo sa WebAuthn.
- Gumamit ng isang manager ng password na nakabatay sa browser. Nagbibigay ang mga ito ng antas ng proteksyon laban sa pag-pishing dahil mapagtanto nila na hindi ito isang dating binisita na link.
At syempre, isa na hindi nabigo. Huwag kailanman mag-click sa isang link na ipinadala sa iyo sa pamamagitan ng email. Manu-manong isulat ang address o ilagay ito sa mga bookmark.
Gayunpaman, ito ay nakakagulat na balita. Hindi namin pinag-uusapan ang tungkol sa isang social network ngunit isang site na ayon sa sarili nitong paglalarawan ay:
isang nakikipagtulungan platform ng pag-unlad ng software upang mag-host ng mga proyekto gamit ang sistemang kontrol ng bersyon ng Git. Ang code ay nakaimbak sa publiko, kahit na maaari rin itong gawin nang pribado ...
Sa madaling salita, ang mga gumagamit nito ay ang mga taong lumilikha ng mga application na ginagamit namin at samakatuwid ay kailangang magdagdag ng mga tampok sa seguridad. Ito ay tulad ng pagnanakaw mula sa Kagawaran ng Pulisya.