Categories
程式開發

GitHub用戶注意:Sawfish釣魚攻擊來了


GitHub用戶注意:Sawfish釣魚攻擊來了 1

近日,GitHub官方博客披露一則消息:網絡犯罪分子發起了一種釣魚活動,將GitHub用戶視為攻擊目標,試圖獲取其賬戶權限。

一旦用戶中招,後果可能很嚴重。攻擊者不僅能控制GitHub用戶的賬戶,而且還能獲取其他重要信息和內容。

據GitHub官方透露,這種釣魚活動被稱為Sawfish(鋸鰩),以GitHub用戶為攻擊目標,它通過模仿GitHub的登錄頁面來收集和竊取用戶的登錄憑證。一旦登錄憑證得手,攻擊者就能接管用戶賬戶。除此之外,攻擊者還會立即下載用戶私有庫的內容。

GitHub安全事件響應團隊(SIRT)在博客中寫道,“如果攻擊者成功竊取了GitHub用戶賬戶的登錄憑證,為了在用戶更改密碼後能繼續訪問,它們可能在這個賬戶上快速地創建GitHub個人訪問令牌或授權的OAuth applications。”

GitHub SIRT表示,發布此消息,一方面是為了提高用戶的安全意識,另一方面是提醒用戶保護好其賬戶和存儲庫。

釣魚攻擊目標:活躍的GitHub賬戶

根據筆者分析,這種釣魚活動首先選擇目標,它將各個國家為科技公司工作且當前活躍的GitHub用戶賬戶視為攻擊對象。

其次,獲取相應目標(GitHub用戶)的電子郵件地址。據了解,攻擊者可以利用GitHub上的公共commits來獲取所需的電子郵件地址。

然後,攻擊者會模仿GitHub官方登錄頁面,製作與其“長得一模一樣”的虛假登錄頁面。

最後,攻擊者將從合法域名下給GitHub用戶發送釣魚郵件。

GitHub用戶注意:Sawfish釣魚攻擊來了 2

GitHub官方博客揭示,這種釣魚郵件會利用“各種誘餌”來欺騙目標點擊嵌入信息的惡意鏈接。釣魚信息會聲稱,一個GitHub用戶賬戶的存儲庫或設置已經被更改,或是未經授權的活動被刪除。然後,這則信息會邀請用戶點擊一個惡意鏈接來檢查這個更改。

一旦用戶被騙,他就會點擊惡意鏈接去核實自己的賬戶活動,此時,用戶就會被重定向到一個虛假的GitHub登錄頁面。

這個假頁面會收集用戶的登錄憑證,然後將其發送到攻擊者所控制的服務器上。

對使用基於TOTP雙因素認證的用戶來說,這個站點會將任意的TOTP codes轉發給攻擊者,這就讓其可以順利進入受TOTP雙因素認證保護的賬戶。

舉個例子,4月4日,有用戶收到一封郵件,讓用戶檢查其賬戶活動:

GitHub用戶注意:Sawfish釣魚攻擊來了 3

然後,它將用戶轉到虛假站點:

GitHub用戶注意:Sawfish釣魚攻擊來了 4

用戶一旦輸入賬戶和密碼,點擊登錄,那就完了!

不過,GitHub SIRT解釋道,“對於這種攻擊,受hardware security keys保護的賬戶影響不大。”

GitHub披露了攻擊者所使用的一些策略:

  • 使用URL-shortening服務來隱藏惡意鏈接的真實“目的地”。為了進一步的造成混淆,攻擊者有時會將多種URL-shortening 服務混在一起;
  • 為了讓攻擊中用到的惡意鏈接看起來更不易受到懷疑,攻擊者也會在compromised sites使用基於PHP的重定向程序。

怎樣防禦這種釣魚攻擊?

針對Sawfish釣魚攻擊,GitHub給出了一些建議:

  1. 立即重置密碼;
  2. 立即重置two-factor recovery codes;
  3. 檢查個人訪問令牌;
  4. 採取額外步驟檢查和保護賬戶安全

為了阻止釣魚攻擊取得成功,GitHub建議“考慮使用硬件安全密鑰和WebAuthn雙因素認證。同時,也可以選擇使用瀏覽器內置的密碼管理器。“

GitHub表示,通過自動填充或識別出你此前保存密碼的合法域名,它們可能提供一定程度的釣魚防護。如果你的密碼管理器沒有識別出當前訪問的網站,它可能就是個釣魚站點。

再次提醒廣大GitHub用戶,千萬要核實別在釣魚網站輸入登錄憑證,確認地址欄的URL是https://github.com/login和網站的TLS證書是發給GitHub, Inc。
GitHub用戶注意:Sawfish釣魚攻擊來了 5

GitHub用戶注意:Sawfish釣魚攻擊來了 6

已知的釣魚域名

據GitHub表示,它們注意到被攻擊者使用的釣魚域名,其中,大多數已經offline,但攻擊者還在不斷地創建新域名,並且繼續如此。

  • aws-update[.]net
  • corp-github[.]com
  • ensure-https[.]com
  • git-hub[.]co
  • git-secure-service[.]in
  • githb[.]co
  • glt-app[.]net
  • glt-hub[.]com
  • glthub[.]co
  • glthub[.]info
  • glthub[.]net
  • glthubb[.]info
  • glthube[.]app
  • glthubs[.]com
  • glthubs[.]info
  • glthubs[.]net
  • glthubse[.]info
  • slack-app[.]net
  • ssl-connection[.]net
  • sso-github[.]com
  • sts-github[.]com
  • tsl-github[.]com