Пользователи GitHub остерегаются: онлайн-преступники
запустили фишинговую кампанию, чтобы попытаться получить доступ к вашим
аккаунтам.
Принадлежащая Microsoft служба поддержки исходного
кода и контроля версий сообщила
о кампании, которую она называет Sawfish, во вторник, 14
апреля. Пользователи сообщали об электронных письмах, в которых пытались
заманить их на ввод учетных данных GitHub на поддельных сайтах за неделю до
этого.
Фишинговая кампания привлекает жертв к доменам,
которые на первый взгляд похожи на GitHub, но которыми компания не владеет,
таким как git-hub.co, sso-github.com и corp-github.com, говорится в сообщении
компании. Другие домены неправильно пишут «i» в GitHub с «l», например,
glthub.info. Злоумышленник также пробовал домены, похожие на те, которые
принадлежат другим технологическим компаниям, таким как aws-update.net и
slack-app.net. GitHub предупредил, что большинство этих доменов уже закрыты, и
фишер быстро их поменял. Фишинговые электронные письма, которые не всегда
хорошо написаны, пытаются поднять тревогу получателя, предполагая, что с его
аккаунтом происходит что-то подозрительное. Один
пример, полученный 4 апреля, попросил пользователя
проверить активность своего аккаунта:
Затем пользователь перешел на этот поддельный сайт с
доменом, который, по словам GitHub,
связан с кампанией Sawfish:
Фишеры, похоже, нацелены на людей на основе адресов,
используемых для публичных коммитов Git. Это обновления исходного кода, доступные для
публичного просмотра. Это может объяснить сообщение
Redditor
о фишинге, отправленном на адрес, используемый исключительно
для GitHub.
Злоумышленники используют несколько методов, чтобы
скрыть реальное назначение ссылки, включая укорачиватели URL, иногда соединенные вместе, чтобы
еще сложнее увидеть конечный пункт назначения. Они также используют
перенаправители на скомпрометированных сайтах, которые имеют законно выглядящий
URL,
но затем отправляют жертву на другой вредоносный сайт.
Как только злоумышленник получит доступ, он сможет
загрузить содержимое частных репозиториев, которые могут принадлежать
организациям, в которых они работают. Они также могут использовать токены
GitHub OAuth, которые разрешают им доступ к сайту в течение заранее
определенного периода, даже если пользователь меняет свой пароль. Кроме того,
они могли бы создать личный токен доступа GitHub, который позволяет
пользователю получить доступ к своей учетной записи GitHub с помощью языка
разметки утверждений безопасности (SAML). Это открытый стандарт аутентификации,
часто используемый для единого входа (SSO). Настройка сертификата SSH для
доступа к зарегистрированной учетной записи также тривиальна. Если жертва
фишинг-атаки не проверила свои сертификаты SSH, злоумышленник может продолжать
доступ к учетной записи в течение длительного времени.
Фишинговая атака даже работает против некоторых
видов атак двухфакторной аутентификации (2FA). Один вариант 2FA, который
предлагает GitHub, - это одноразовый пароль на основе времени (TOTP). Это шаг
вперед по сравнению с аутентификацией на основе SMS, которую злоумышленники
подорвали с помощью атак с использованием
SIM-карты. Приложения
TOTP генерируют код аутентификации, который действителен в течение
определенного периода времени, но пользователь все еще должен ввести эти коды в
веб-сайт аутентификации. Фишинговый сайт передает код TOTP злоумышленнику,
который затем выполняет атаку «человек посередине» и вводит код TOTP в GitHub.
Атака не работает против оборудования основанные на
WebAuthn системы аутентификации, которые GitHub начал использовать
в августе 2019 года в качестве второго уровня
аутентификации для дополнения кодов TOTP. Это включает в себя физический токен,
которого у злоумышленника не будет.
Почему эта фишинговая кампания так важна? Любая
фишинговая атака является проблемой, но получение доступа к личному репозиторию
пользователя GitHub может дать не только исходный код, но и ключи для доступа к
онлайн-приложениям и SSH-ключам, а также учетные данные для входа в другие
онлайн-сервисы. Этого достаточно для частного личного проекта, но может быть
разрушительным, если жертва получит доступ к конфиденциальным ресурсам,
связанным с популярным онлайн-приложением. Вот
как хакер Кайл Милликен изобрел Disqus.
Что делать
Защитите себя, дважды проверив сайт назначения, на
котором вы в конечном итоге будете получать электронные письма, предупредил
GitHub. Используйте менеджер паролей, который будет вводить ваши учетные данные
только в домен, который он распознает, и получите аппаратный ключ безопасности,
который поддерживает WebAuthn для доступа к сайту, добавляет он (что
автоматически означает включение 2FA).
Просмотрите ключи SSH, используемые для доступа к
вашей учетной записи GitHub, проверьте адреса электронной почты, и просмотрите
журнал безопасности
своей учетной записи, чтобы проверить наличие фишинговых
действий.
Комментариев нет:
Отправить комментарий