近日,GitHub 官方博客披露一則消息:網絡犯罪分子發起了一種釣魚活動,將 GitHub 用戶視為攻擊目標,試圖獲取其賬戶權限。
一旦用戶中招,後果可能很嚴重。攻擊者不僅能控制 GitHub 用戶的賬戶,而且還能獲取其他重要信息和內容。
據 GitHub 官方透露,這種釣魚活動被稱為 Sawfish(鋸鰩),以 GitHub 用戶為攻擊目標,它通過模仿 GitHub 的登錄頁面來收集和竊取用戶的登錄憑證。一旦登錄憑證得手,攻擊者就能接管用戶賬戶。除此之外,攻擊者還會立即下載用戶私有庫的內容。
GitHub 安全事件響應團隊(SIRT)在博客中寫道,“如果攻擊者成功竊取了 GitHub 用戶賬戶的登錄憑證,為了在用戶更改密碼後能繼續訪問,它們可能在這個賬戶上快速地創建 GitHub 個人訪問令牌或授權的 OAuth applications。”
GitHub SIRT 表示,發佈此消息,一方面是為了提高用戶的安全意識,另一方面是提醒用戶保護好其賬戶和存儲庫。
釣魚攻擊目標:活躍的 GitHub 賬戶
根據筆者分析,這種釣魚活動首先選擇目標,它將各個國家為科技公司工作且當前活躍的 GitHub 用戶賬戶視為攻擊對象。
其次,獲取相應目標(GitHub 用戶)的電子郵件地址。據瞭解,攻擊者可以利用 GitHub 上的公共 commits 來獲取所需的電子郵件地址。
然後,攻擊者會模仿 GitHub 官方登錄頁面,製作與其“長得一模一樣”的虛假登錄頁面。
最後,攻擊者將從合法域名下給 GitHub 用戶發送釣魚郵件。
GitHub 官方博客揭示,這種釣魚郵件會利用“各種誘餌”來欺騙目標點擊嵌入信息的惡意鏈接。釣魚信息會聲稱,一個 GitHub 用戶賬戶的存儲庫或設置已經被更改,或是未經授權的活動被刪除。然後,這則信息會邀請用戶點擊一個惡意鏈接來檢查這個更改。
一旦用戶被騙,他就會點擊惡意鏈接去核實自己的賬戶活動,此時,用戶就會被重定向到一個虛假的 GitHub 登錄頁面。
這個假頁面會收集用戶的登錄憑證,然後將其發送到攻擊者所控制的服務器上。
對使用基於 TOTP 雙因素認證的用戶來說,這個站點會將任意的 TOTP codes 轉發給攻擊者,這就讓其可以順利進入受 TOTP 雙因素認證保護的賬戶。
舉個例子,4 月 4 日,有用戶收到一封郵件,讓用戶檢查其賬戶活動:
然後,它將用戶轉到虛假站點:
用戶一旦輸入賬戶和密碼,點擊登錄,那就完了!
不過,GitHub SIRT 解釋道,“對於這種攻擊,受 hardware security keys 保護的賬戶影響不大。”
GitHub 披露了攻擊者所使用的一些策略:
- 使用 URL-shortening 服務來隱藏惡意鏈接的真實“目的地”。為了進一步的造成混淆,攻擊者有時會將多種 URL-shortening 服務混在一起;
- 為了讓攻擊中用到的惡意鏈接看起來更不易受到懷疑,攻擊者也會在 compromised sites 使用基於 PHP 的重定向程序。
怎樣防禦這種釣魚攻擊?
針對 Sawfish 釣魚攻擊,GitHub 給出了一些建議:
- 立即重置密碼;
- 立即重置 two-factor recovery codes;
- 檢查個人訪問令牌;
- 採取額外步驟檢查和保護賬戶安全
為了阻止釣魚攻擊取得成功,GitHub 建議“考慮使用硬件安全密鑰和 WebAuthn 雙因素認證。同時,也可以選擇使用瀏覽器內置的密碼管理器。“
GitHub 表示,通過自動填充或識別出你此前保存密碼的合法域名,它們可能提供一定程度的釣魚防護。如果你的密碼管理器沒有識別出當前訪問的網站,它可能就是個釣魚站點。
再次提醒廣大 GitHub 用戶,千萬要核實別在釣魚網站輸入登錄憑證,確認地址欄的 URL 是https://github.com/login和網站的 TLS 證書是發給 GitHub, Inc。
已知的釣魚域名
據 GitHub 表示,它們注意到被攻擊者使用的釣魚域名,其中,大多數已經 offline,但攻擊者還在不斷地創建新域名,並且繼續如此。
- aws-update[.]net
- corp-github[.]com
- ensure-https[.]com
- git-hub[.]co
- git-secure-service[.]in
- githb[.]co
- glt-app[.]net
- glt-hub[.]com
- glthub[.]co
- glthub[.]info
- glthub[.]net
- glthubb[.]info
- glthube[.]app
- glthubs[.]com
- glthubs[.]info
- glthubs[.]net
- glthubse[.]info
- slack-app[.]net
- ssl-connection[.]net
- sso-github[.]com
- sts-github[.]com
- tsl-github[.]com
關注我並轉發此篇文章,私信我“領取資料”,即可免費獲得InfoQ價值4999元迷你書!
