行将开播：4月29日，民生银行郭庆谈商业银行金融科技赋能的探求与实际

近日，GitHub 官方博客披露一则音讯：网络立功分子发起一种钓鱼活动，将 GitHub 用户视为攻击目的，试图获取其账户权限。

一旦用户中招，结果能够很严重。攻击者不只能控制 GitHub 用户的账户，而且还能获取其他重要信息和内容。

据 GitHub 官方泄漏，这种钓鱼活动被称为 Sawfish（锯鳐），以 GitHub 用户为攻击目的，它经过模拟 GitHub 的登录页面来搜集和窃取用户的登录凭证。一旦登录凭证得手，攻击者就能接收用户账户。除此之外，攻击者还会立刻下载用户私有库的内容。

GitHub 安全事情照应团队（SIRT）在博客中写道，“假设攻击者成功窃取了 GitHub 用户账户的登录凭证，为了在用户更改密码后能继续拜访，它们能够在这个账户上快速地创立GitHub 团体拜访令牌或授权的 OAuth applications。”

GitHub SIRT 表示，发布此音讯，一方面是为了提高用户的安全看法，另一方面是提示用户保护好其账户和存储库。

1. 瞄准目的：生动的 GitHub 账户

据悉，这种钓鱼活动首先选择目的，它将各个国度为科技公司任务且以后生动的 GitHub 用户账户视为攻击对象。

其次，获取相应目的（GitHub 用户）的电子邮件地址。据了解，攻击者可以应用 GitHub 上的公共 commits 来获取所需的电子邮件地址。

然后，攻击者会模拟 GitHub 官方登录页面，制造与其“长得如出一辙”的虚伪登录页面。

最后，攻击者将从合法域名下给 GitHub 用户发送钓鱼邮件。

GitHub 官方博客提醒，这种钓鱼邮件会应用“各种诱饵”来诈骗目的点击嵌入信息的恶意链接。钓鱼信息会宣称，一个 GitHub 用户账户的存储库或设置曾经被更改，或是未经授权的活动被删除。然后，这则信息会约请用户点击一个恶意链接来反省这个更改。

一旦用户被骗，他就会点击恶意链接去核实本人的账户活动，此时，用户就会被重定向到一个虚伪的 GitHub 登录页面。

这个假页面会搜集用户的登录凭证，然后将其发送到攻击者所控制的效劳器上。

对运用基于 TOTP 双要素认证的用户来说，这个站点会将恣意的 TOTP codes 转发给攻击者，这就让其可以顺利进入受 TOTP 双要素认证保护的账户。

举个例子，4 月 4 日，有用户收到一封邮件，让用户反省其账户活动：

假设用户点击链接，它就将用户转到虚伪站点：

用户一旦输入账户和密码，点击登录，那就完了！

不过，GitHub SIRT 解释道，“关于这种攻击，受 hardware security keys 保护的账户影响不大。”

GitHub 披露了攻击者所运用的一些策略：

运用 URL-shortening 效劳来隐藏恶意链接的真实“目的地”。为了进一步的形成混杂，攻击者有时会将多种 URL-shortening 效劳混在一同；

为了让攻击中用到的恶意链接看起来更不易遭到疑心，攻击者也会在 compromised sites 运用基于 PHP 的重定向顺序。

2. 怎样进攻这种钓鱼攻击？

针对 Sawfish 钓鱼攻击，GitHub 给出了一些建议：

立刻重置密码；

立刻重置 two-factor recovery codes；

反省团体拜访令牌；

采取额外步骤反省和保护账户安全

为了阻止钓鱼攻击取得成功，GitHub 建议“思索运用硬件安全密钥和 WebAuthn 双要素认证。同时，也可以选择运用阅读器内置的密码管理器。“

GitHub 表示，经过自动填充或辨认出你此前保存密码的合法域名，它们能够提供一定水平的钓鱼防护。假设你的密码管理器没有辨认出以后拜访的网站，它能够就是个钓鱼站点。

再次提示广阔 GitHub 用户，千万要核实别在钓鱼网站输入登录凭证，确认地址栏的 URL 是 https://github.com/login 和网站的 TLS 证书是发给 GitHub, Inc。

3. 已知的钓鱼活动域名

据 GitHub 表示，它们留意到被攻击者运用的钓鱼域名，其中，大少数曾经 offline，但攻击者还在不断地创立新域名，并且会继续如此。

aws-update[.]net

corp-github[.]com

ensure-https[.]com

git-hub[.]co

git-secure-service[.]in

githb[.]co

glt-app[.]net

glt-hub[.]com

glthub[.]co

glthub[.]info

glthub[.]net

glthubb[.]info

glthube[.]app

glthubs[.]com

glthubs[.]info

glthubs[.]net

glthubse[.]info

slack-app[.]net

ssl-connection[.]net

sso-github[.]com

sts-github[.]com

tsl-github[.]com

【编辑引荐】

顺序员和开发者，细品之下见差别

上古言语从入门到知晓：COBOL教程登上GitHub热榜

2020年Node.js开发者调查报告

GitHub 已完成对 npm 的收买

Qt 开发者讨论将 Qt 5 代码移植到 Qt 6 的工具

(责任编辑：admin)