2020 Bilgisayar güvenliği açısından iyi bir yıl değil. David onlara söyle Geçen gün Zoom hesaplarının satışı. Ve öyle görünüyor ki bu sefer sıra Microsoft'un barındırma ve sürüm kontrol hizmeti GitHub'a gelmişti. Rapor edildi kullanıcılarının çoğu, kimlik bilgilerini toplamak ve çalmak için özel olarak tasarlanmış bir kimlik avı kampanyasının kurbanı oluyor GitHub oturum açma sayfasını taklit eden apokrif sayfalar aracılığıyla.
GitHub hesapları çalınır. Geliştiriciler ve kullanıcılar için gerçek bir tehlike
Bir hesabın kontrolünü ele geçirdikten hemen sonra,Saldırganlar, özel depoların içeriğini gecikmeden indirmeye devam ederler, kimleri vurgulamak Kuruluşun hesaplarının ve diğer ortak çalışanların mülküdür.
GitHub'ın Güvenlik Olayı Müdahale Ekibine (SIRT) göre, bunlar riskler
Saldırgan, GitHub kullanıcı hesabının kimlik bilgilerini başarıyla çalarsa, kullanıcının parolasını değiştirmesi durumunda erişimi korumak için hızla kişisel GitHub erişim belirteçleri oluşturabilir veya hesapta OAuth uygulamalarına yetki verebilir.
SIRT'e göre, Sawfish adlı bu kimlik avı kampanyası, tüm aktif GitHub hesaplarını etkileyebilir.
Hesaplara erişmenin ana aracı e-postadır. Mesajlar, alıcıların metinde bulunan kötü amaçlı bağlantıya tıklamasını sağlamak için çeşitli hileler kullanır: bazıları yetkisiz etkinlik tespit edildiğini söylerken, diğerleri arşivlerde veya hedef kullanıcının hesap ayarlarında yapılan değişikliklerden bahsediyor.
Aldatmaya kanan ve hesap hareketlerini kontrol etmek için tıklayan kullanıcılar Daha sonra kimlik bilgilerini toplayan ve onları saldırgan tarafından kontrol edilen sunuculara gönderen sahte bir GitHub oturum açma sayfasına yönlendirilirler.
Saldırganlar tarafından kullanılan sahte sayfa ayrıca iki aşamalı kimlik doğrulama kodlarını gerçek zamanlı olarak alacaksınız zamana dayalı tek seferlik şifre (TOTP) mobil uygulaması kullananların oranı.
Şimdiye kadar SIRT için, donanım tabanlı güvenlik anahtarlarıyla korunan hesaplar bu saldırıya açık değildir.
Saldırı böyle işliyor
Bilindiği kadarıyla, Bu kimlik avı kampanyasının tercih edilen kurbanları şu anda çeşitli ülkelerdeki teknoloji şirketleri için çalışan aktif GitHub kullanıcılarıdır. ve bunu herkes tarafından bilinen e-posta adreslerini kullanarak yaparlar.
Kimlik avı e-postaları göndermek içine daha önce güvenliği ihlal edilmiş e-posta sunucularını kullanarak veya çalınan API kimlik bilgilerinin yardımıyla meşru etki alanlarını kullanın yasal toplu e-posta hizmeti sağlayıcılarından.
Saldırganlar tAyrıca URL kısaltma hizmetlerinden de yararlanırlar açılış sayfalarının URL'lerini gizlemek için tasarlanmıştır. Algılamayı daha da zorlaştırmak için birden fazla URL kısaltma hizmetini bir arada zincirlerler. Ek olarak, güvenliği ihlal edilmiş sitelerden PHP tabanlı yönlendirmelerin kullanımı tespit edildi.
Kendinizi saldırılardan korumanın bazı yolları
Güvenlikten sorumlu kişilerin tavsiyelerine göre GitHub hesabınız varsa şunları yapmalısınız:
- Parolayı değiştir
- Kurtarma kodlarını iki adımda sıfırlayın.
- Kişisel erişim belirteçlerini inceleyin.
- Donanım veya WebAuthn kimlik doğrulamasına geçin.
- Tarayıcı tabanlı bir şifre yöneticisi kullanın. Bunlar, daha önce ziyaret edilen bir bağlantı olmadığını anlayacaklarından, kimlik avına karşı bir derece koruma sağlar.
Ve tabii ki, asla başarısız olmayacak. Size e-posta ile gönderilen bir bağlantıya asla tıklamayın. Adresi manuel olarak yazın veya yer imlerine ekleyin.
Her neyse, şaşırtıcı bir haber. Bir sosyal ağdan değil, kendi açıklamasına göre olan bir siteden bahsediyoruz:
Git sürüm kontrol sistemini kullanarak projeleri barındırmak için işbirliğine dayalı bir yazılım geliştirme platformu. Kod herkese açık olarak saklanır, ancak özel olarak da yapılabilir ...
Başka bir deyişle, kullanıcıları, kullandığımız uygulamaları oluşturan ve dolayısıyla güvenlik özellikleri eklemek zorunda olan kişilerdir. Polis Departmanından hırsızlık yapmak gibi bir şey.