2020 就計算機安全而言,今年並不是好年頭。 大衛 告訴他們 前幾天出售 Zoom 帳戶。 而且似乎 這次輪到了微軟的託管和版本控制服務 GitHub。 據悉, 許多用戶都成為網絡釣魚活動的受害者,該網絡釣魚活動專門旨在收集和竊取他們的憑據 通過模仿 GitHub 登錄頁面的虛假頁面。
他們竊取 GitHub 帳戶。 對開發者和用戶來說是真正的危險
控制賬戶後,我立即攻擊者立即繼續下載私人存儲庫的內容, 強調什麼 它們由組織帳戶和其他協作者擁有。
根據 GitHub 安全事件響應團隊 (SIRT) 的說法,這些是風險
如果攻擊者成功竊取用戶的 GitHub 帳戶憑據,他們可以快速創建個人 GitHub 訪問令牌或在該帳戶上授權 OAuth 應用程序,以便在用戶更改密碼時保留訪問權限
根據 SIRT 的說法,這個名為 Sawfish 的網絡釣魚活動, 它可能會影響所有活躍的 GitHub 帳戶。
訪問帳戶的主要工具是電子郵件。 這些郵件使用各種技巧來讓收件人點擊文本中包含的惡意鏈接: 一些人說檢測到了未經授權的活動,而另一些人則提到了目標用戶的存儲庫或帳戶設置的更改。
上當受騙並點擊查看賬戶活動的用戶 然後,他們會被重定向到一個虛假的 GitHub 登錄頁面,該頁面會收集他們的憑據並將其發送到攻擊者控制的服務器。
攻擊者使用的虛假頁面 您還將實時獲得兩步驗證碼 如果受害者使用基於時間的一次性密碼 (TOTP) 移動應用程序。
到目前為止,對於 SIRT,受基於硬件的安全密鑰保護的帳戶不易受到此攻擊。
這就是攻擊的原理
據所知, 此網絡釣魚活動的首選受害者是目前在多個國家/地區的科技公司工作的活躍 GitHub 用戶 他們使用公開的電子郵件地址來這樣做。
發送網絡釣魚電子郵件e 使用合法域,或者使用之前被入侵的電子郵件服務器,或者藉助被盜的 API 憑證 來自合法的批量電子郵件服務提供商。
攻擊者他們還利用 URL 縮短服務 旨在隱藏著陸頁 URL。 他們甚至鏈接多個 URL 縮短服務,使檢測變得更加困難。 此外,還檢測到使用來自受感染站點的基於 PHP 的重定向。
防禦攻擊的一些方法
根據安全負責人的建議,如果您有 GitHub 帳戶,則可以方便地執行以下操作:
- 修改密碼
- 分兩步重置恢復代碼。
- 查看個人訪問令牌。
- 切換到硬件或 WebAuthn 身份驗證。
- 使用基於瀏覽器的密碼管理器。 這些提供了一定程度的針對網絡釣魚的保護,因為他們會意識到這不是以前訪問過的鏈接。
當然,這是一個永遠不會失敗的人。 切勿點擊通過電子郵件發送給您的鏈接。 手動輸入地址或將其添加為書籤。
無論如何,這都是一個令人驚訝的消息。 我們談論的不是社交網絡,而是一個根據其自身描述的網站:
一個協作軟件開發平台,用於使用 Git 版本控制系統託管項目。 代碼是公開存儲的,儘管也可以私下完成......
也就是說,它的用戶是創建我們使用的應用程序的人,因此必須為其添加安全功能。 這有點像闖入警察局。