近日,GitHub官博披露了一则消息:网络犯罪分子发起了一场针对GitHub用户的钓鱼活动,企图获取其账号的访问权限。一旦用户中招,后果可能很严重。攻击者不仅可以控制GitHub用户的帐户,还可以访问其他重要信息和内容。据GitHub官方介绍,此次钓鱼活动名为Sawfish(锯鳐),以GitHub用户为目标,通过模仿GitHub的登录页面收集、窃取用户的登录凭证。一旦获得登录凭据,攻击者就可以接管用户帐户。除此之外,攻击者会立即下载用户私人图书馆的内容。GitHub安全事件响应团队(SIRT)在一篇博文中写道,“如果攻击者成功窃取了GitHub用户帐户的登录凭据,他们可能会迅速在该帐户上创建GitHub个人访问权限,以便在用户更改后继续访问密码。令牌或授权的OAuth应用程序。”GitHubSIRT表示,发布这条消息一方面是为了提高用户的安全意识,另一方面是提醒用户保护好自己的账户和仓库。1、针对目标:活跃的GitHub账号据悉,此次钓鱼活动首先选择目标,将为各国科技公司工作且目前活跃的GitHub用户账号作为攻击目标。二、获取对应目标(GitHub用户)的邮箱地址。据了解,攻击者可以利用GitHub上的公开提交来获取所需的电子邮件地址。然后,攻击者模仿官方GitHub登录页面,创建一个“看起来一模一样”的虚假登录页面。最后,攻击者将从合法域向GitHub用户发送钓鱼邮件。GitHub官方博客透露,钓鱼邮件使用“各种诱饵”诱骗目标点击嵌入信息的恶意链接。网络钓鱼邮件会声称GitHub用户帐户的存储库或设置已被更改,或者未经授权的活动已被删除。该消息然后邀请用户单击恶意链接以检查更改。一旦用户被骗,他会点击一个恶意链接来验证他的账户活动,此时用户会被重定向到一个虚假的GitHub登录页面。这个虚假页面收集用户的登录凭据并将它们发送到攻击者控制的服务器。对于使用基于TOTP的双因素身份验证的用户,该站点会将任意TOTP代码转发给攻击者,使他们能够访问受TOTP双因素身份验证保护的帐户。例如,在4月4日,一位用户收到一封电子邮件,要求用户检查他们的帐户活动:如果用户点击该链接,它会将用户带到一个虚假网站:一旦用户输入帐户和密码,点击登录in,那么就结束了!不过,GitHubSIRT解释说,“对于这种类型的攻击,受硬件安全密钥保护的账户影响不大。”GitHub披露了攻击者使用的一些策略:使用URL缩短服务来隐藏真正的“恶意链接的目的地”。为了进一步混淆,攻击者有时会混合使用多个URL缩短服务;使攻击中使用的恶意链接看起来不太可疑的是,攻击者还在受感染的站点上使用基于PHP的重定向器。2.如何防御这种钓鱼攻击?针对Sawfish钓鱼攻击,GitHub给出了一些建议:立即重置密码;立即重置双因素恢复代码;检查个人访问令牌;采取额外步骤检查和保护帐户安全为了防止网络钓鱼攻击得逞,GitHub建议“考虑使用硬件安全密钥和WebAuthn双因素身份验证。或者,使用浏览器的内置密码管理器。”GitHub表示,他们可能会通过自动填充或识别您之前保存密码的合法域来提供一定程度的安全性。钓鱼保护。如果您的密码管理器无法识别您正在访问的网站,则该网站可能是钓鱼网站。再次提醒所有GitHub用户,不要在钓鱼网站上输入登录凭证,确认地址栏中的URL为https://github.com/login并且该网站的TLS证书颁发给GitHub,Inc.3.已知网络钓鱼活动域据GitHub称,他们已经注意到攻击者使用的网络钓鱼域,其中大部分已经下线,但攻击者正在不断创建新的域,并将继续这样做。aws-update[.]netcorp-github[.]comensure-https[.]comgit-hub[.]cogit-secure-service[.]ingithb[.]coglt-app[.]netglt-hub[.]comglthub[.]coglthub[.]infoglthub[.]netglthub[.]infoglthube[.]appglthubs[.]comglthubs[.]infoglthubs[.]netglthubse[.]信息slack-app[.]netssl-connection[.]netsso-github[.]comsts-github[.]comtsl-github[.]com
