近日，GitHub 官方博客披露一則消息：網(wǎng)絡(luò)犯罪分子發(fā)起了一種釣魚(yú)活動(dòng)，將 GitHub 用戶視為攻擊目標(biāo)，試圖獲取其賬戶權(quán)限。

　　一旦用戶中招，后果可能很嚴(yán)重。攻擊者不僅能控制 GitHub 用戶的賬戶，而且還能獲取其他重要信息和內(nèi)容。

　　據(jù) GitHub 官方透露，這種釣魚(yú)活動(dòng)被稱為 Sawfish（鋸鰩），以 GitHub 用戶為攻擊目標(biāo)，它通過(guò)模仿 GitHub 的登錄頁(yè)面來(lái)收集和竊取用戶的登錄憑證。一旦登錄憑證得手，攻擊者就能接管用戶賬戶。除此之外，攻擊者還會(huì)立即下載用戶私有庫(kù)的內(nèi)容。

　　GitHub 安全事件響應(yīng)團(tuán)隊(duì)（SIRT）在博客中寫(xiě)道，“如果攻擊者成功竊取了 GitHub 用戶賬戶的登錄憑證，為了在用戶更改密碼后能繼續(xù)訪問(wèn)，它們可能在這個(gè)賬戶上快速地創(chuàng)建 GitHub 個(gè)人訪問(wèn)令牌或授權(quán)的 OAuth applications。”

　　GitHub SIRT 表示，發(fā)布此消息，一方面是為了提高用戶的安全意識(shí)，另一方面是提醒用戶保護(hù)好其賬戶和存儲(chǔ)庫(kù)。

　　釣魚(yú)攻擊目標(biāo)：活躍的 GitHub 賬戶

　　根據(jù)筆者分析，這種釣魚(yú)活動(dòng)首先選擇目標(biāo)，它將各個(gè)國(guó)家為科技公司工作且當(dāng)前活躍的 GitHub 用戶賬戶視為攻擊對(duì)象。

　　其次，獲取相應(yīng)目標(biāo)（GitHub 用戶）的電子郵件地址。據(jù)了解，攻擊者可以利用 GitHub 上的公共 commits 來(lái)獲取所需的電子郵件地址。

　　然后，攻擊者會(huì)模仿 GitHub 官方登錄頁(yè)面，制作與其“長(zhǎng)得一模一樣”的虛假登錄頁(yè)面。

　　最后，攻擊者將從合法域名下給 GitHub 用戶發(fā)送釣魚(yú)郵件。

　　GitHub 官方博客揭示，這種釣魚(yú)郵件會(huì)利用“各種誘餌”來(lái)欺騙目標(biāo)點(diǎn)擊嵌入信息的惡意鏈接。釣魚(yú)信息會(huì)聲稱，一個(gè) GitHub 用戶賬戶的存儲(chǔ)庫(kù)或設(shè)置已經(jīng)被更改，或是未經(jīng)授權(quán)的活動(dòng)被刪除。然后，這則信息會(huì)邀請(qǐng)用戶點(diǎn)擊一個(gè)惡意鏈接來(lái)檢查這個(gè)更改。

　　一旦用戶被騙，他就會(huì)點(diǎn)擊惡意鏈接去核實(shí)自己的賬戶活動(dòng)，此時(shí)，用戶就會(huì)被重定向到一個(gè)虛假的 GitHub 登錄頁(yè)面。

　　這個(gè)假頁(yè)面會(huì)收集用戶的登錄憑證，然后將其發(fā)送到攻擊者所控制的服務(wù)器上。

　　對(duì)使用基于 TOTP 雙因素認(rèn)證的用戶來(lái)說(shuō)，這個(gè)站點(diǎn)會(huì)將任意的 TOTP codes 轉(zhuǎn)發(fā)給攻擊者，這就讓其可以順利進(jìn)入受 TOTP 雙因素認(rèn)證保護(hù)的賬戶。

　　舉個(gè)例子，4 月 4 日，有用戶收到一封郵件，讓用戶檢查其賬戶活動(dòng)：

　　然后，它將用戶轉(zhuǎn)到虛假站點(diǎn)：

　　用戶一旦輸入賬戶和密碼，點(diǎn)擊登錄，那就完了！

　　不過(guò)，GitHub SIRT 解釋道，“對(duì)于這種攻擊，受 hardware security keys 保護(hù)的賬戶影響不大。”

　　GitHub 披露了攻擊者所使用的一些策略：

• 使用 URL-shortening 服務(wù)來(lái)隱藏惡意鏈接的真實(shí)“目的地”。為了進(jìn)一步的造成混淆，攻擊者有時(shí)會(huì)將多種 URL-shortening 服務(wù)混在一起；
• 為了讓攻擊中用到的惡意鏈接看起來(lái)更不易受到懷疑，攻擊者也會(huì)在 compromised sites 使用基于 PHP 的重定向程序。

　　怎樣防御這種釣魚(yú)攻擊？

　　針對(duì) Sawfish 釣魚(yú)攻擊，GitHub 給出了一些建議：

1. 立即重置密碼；
2. 立即重置 two-factor recovery codes；
3. 檢查個(gè)人訪問(wèn)令牌；
4. 采取額外步驟檢查和保護(hù)賬戶安全

　　為了阻止釣魚(yú)攻擊取得成功，GitHub 建議“考慮使用硬件安全密鑰和 WebAuthn 雙因素認(rèn)證。同時(shí)，也可以選擇使用瀏覽器內(nèi)置的密碼管理器。“

　　GitHub 表示，通過(guò)自動(dòng)填充或識(shí)別出你此前保存密碼的合法域名，它們可能提供一定程度的釣魚(yú)防護(hù)。如果你的密碼管理器沒(méi)有識(shí)別出當(dāng)前訪問(wèn)的網(wǎng)站，它可能就是個(gè)釣魚(yú)站點(diǎn)。

　　再次提醒廣大 GitHub 用戶，千萬(wàn)要核實(shí)別在釣魚(yú)網(wǎng)站輸入登錄憑證，確認(rèn)地址欄的 URL 是https://github.com/login和網(wǎng)站的 TLS 證書(shū)是發(fā)給 GitHub, Inc。

　　已知的釣魚(yú)域名

　　據(jù) GitHub 表示，它們注意到被攻擊者使用的釣魚(yú)域名，其中，大多數(shù)已經(jīng) offline，但攻擊者還在不斷地創(chuàng)建新域名，并且繼續(xù)如此。

• aws-update[.]net
• corp-github[.]com
• ensure-https[.]com
• git-hub[.]co
• git-secure-service[.]in
• githb[.]co
• glt-app[.]net
• glt-hub[.]com
• glthub[.]co
• glthub[.]info
• glthub[.]net
• glthubb[.]info
• glthube[.]app
• glthubs[.]com
• glthubs[.]info
• glthubs[.]net
• glthubse[.]info
• slack-app[.]net
• ssl-connection[.]net
• sso-github[.]com
• sts-github[.]com
• tsl-github[.]com

總結(jié)

以上是生活随笔為你收集整理的GitHub 用户注意：Sawfish 钓鱼攻击来了的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。