行将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探求与实际
近日,GitHub 官方博客披露一则音讯:网络立功分子发起一种钓鱼活动,将 GitHub 用户视为攻击目的,试图获取其账户权限。
一旦用户中招,结果能够很严重。攻击者不只能控制 GitHub 用户的账户,而且还能获取其他重要信息和内容。
据 GitHub 官方泄漏,这种钓鱼活动被称为 Sawfish(锯鳐),以 GitHub 用户为攻击目的,它经过模拟 GitHub 的登录页面来搜集和窃取用户的登录凭证。一旦登录凭证得手,攻击者就能接收用户账户。除此之外,攻击者还会立刻下载用户私有库的内容。
GitHub 安全事情照应团队(SIRT)在博客中写道,“假设攻击者成功窃取了 GitHub 用户账户的登录凭证,为了在用户更改密码后能继续拜访,它们能够在这个账户上快速地创立GitHub 团体拜访令牌或授权的 OAuth applications。”
GitHub SIRT 表示,发布此音讯,一方面是为了提高用户的安全看法,另一方面是提示用户保护好其账户和存储库。
1. 瞄准目的:生动的 GitHub 账户据悉,这种钓鱼活动首先选择目的,它将各个国度为科技公司任务且以后生动的 GitHub 用户账户视为攻击对象。
其次,获取相应目的(GitHub 用户)的电子邮件地址。据了解,攻击者可以应用 GitHub 上的公共 commits 来获取所需的电子邮件地址。
然后,攻击者会模拟 GitHub 官方登录页面,制造与其“长得如出一辙”的虚伪登录页面。
最后,攻击者将从合法域名下给 GitHub 用户发送钓鱼邮件。
GitHub 官方博客提醒,这种钓鱼邮件会应用“各种诱饵”来诈骗目的点击嵌入信息的恶意链接。钓鱼信息会宣称,一个 GitHub 用户账户的存储库或设置曾经被更改,或是未经授权的活动被删除。然后,这则信息会约请用户点击一个恶意链接来反省这个更改。
一旦用户被骗,他就会点击恶意链接去核实本人的账户活动,此时,用户就会被重定向到一个虚伪的 GitHub 登录页面。
这个假页面会搜集用户的登录凭证,然后将其发送到攻击者所控制的效劳器上。
对运用基于 TOTP 双要素认证的用户来说,这个站点会将恣意的 TOTP codes 转发给攻击者,这就让其可以顺利进入受 TOTP 双要素认证保护的账户。
举个例子,4 月 4 日,有用户收到一封邮件,让用户反省其账户活动:
假设用户点击链接,它就将用户转到虚伪站点:
用户一旦输入账户和密码,点击登录,那就完了!
不过,GitHub SIRT 解释道,“关于这种攻击,受 hardware security keys 保护的账户影响不大。”
GitHub 披露了攻击者所运用的一些策略:
运用 URL-shortening 效劳来隐藏恶意链接的真实“目的地”。为了进一步的形成混杂,攻击者有时会将多种 URL-shortening 效劳混在一同;
为了让攻击中用到的恶意链接看起来更不易遭到疑心,攻击者也会在 compromised sites 运用基于 PHP 的重定向顺序。
2. 怎样进攻这种钓鱼攻击?针对 Sawfish 钓鱼攻击,GitHub 给出了一些建议:
立刻重置密码;
立刻重置 two-factor recovery codes;
反省团体拜访令牌;
采取额外步骤反省和保护账户安全
为了阻止钓鱼攻击取得成功,GitHub 建议“思索运用硬件安全密钥和 WebAuthn 双要素认证。同时,也可以选择运用阅读器内置的密码管理器。“
GitHub 表示,经过自动填充或辨认出你此前保存密码的合法域名,它们能够提供一定水平的钓鱼防护。假设你的密码管理器没有辨认出以后拜访的网站,它能够就是个钓鱼站点。
再次提示广阔 GitHub 用户,千万要核实别在钓鱼网站输入登录凭证,确认地址栏的 URL 是 https://github.com/login 和网站的 TLS 证书是发给 GitHub, Inc。
3. 已知的钓鱼活动域名
据 GitHub 表示,它们留意到被攻击者运用的钓鱼域名,其中,大少数曾经 offline,但攻击者还在不断地创立新域名,并且会继续如此。
aws-update[.]net
corp-github[.]com
ensure-https[.]com
git-hub[.]co
git-secure-service[.]in
githb[.]co
glt-app[.]net
glt-hub[.]com
glthub[.]co
glthub[.]info
glthub[.]net
glthubb[.]info
glthube[.]app
glthubs[.]com
glthubs[.]info
glthubs[.]net
glthubse[.]info
slack-app[.]net
ssl-connection[.]net
sso-github[.]com
sts-github[.]com
tsl-github[.]com
【编辑引荐】
顺序员和开发者,细品之下见差别
上古言语从入门到知晓:COBOL教程登上GitHub热榜
2020年Node.js开发者调查报告
GitHub 已完成对 npm 的收买
Qt 开发者讨论将 Qt 5 代码移植到 Qt 6 的工具
(责任编辑:admin)