專門竊取GitHub賬戶，這種釣魚活動值得開發者警惕

作者：萬佳 2020-04-24 10:24:03

近日，GitHub 官方博客披露一則消息：網絡犯罪分子發起一種釣魚活動，將 GitHub 用戶視為攻擊目標，試圖獲取其賬戶權限。

[[323554]]

近日，GitHub 官方博客披露一則消息：網絡犯罪分子發起一種釣魚活動，將 GitHub 用戶視為攻擊目標，試圖獲取其賬戶權限。

一旦用戶中招，后果可能很嚴重。攻擊者不僅能控制 GitHub 用戶的賬戶，而且還能獲取其他重要信息和內容。

據 GitHub 官方透露，這種釣魚活動被稱為 Sawfish（鋸鰩），以 GitHub 用戶為攻擊目標，它通過模仿 GitHub 的登錄頁面來收集和竊取用戶的登錄憑證。一旦登錄憑證得手，攻擊者就能接管用戶賬戶。除此之外，攻擊者還會立即下載用戶私有庫的內容。

GitHub 安全事件響應團隊（SIRT）在博客中寫道，“如果攻擊者成功竊取了 GitHub 用戶賬戶的登錄憑證，為了在用戶更改密碼后能繼續訪問，它們可能在這個賬戶上快速地創建GitHub 個人訪問令牌或授權的 OAuth applications。”

GitHub SIRT 表示，發布此消息，一方面是為了提高用戶的安全意識，另一方面是提醒用戶保護好其賬戶和存儲庫。

1. 瞄準目標：活躍的 GitHub 賬戶

據悉，這種釣魚活動首先選擇目標，它將各個國家為科技公司工作且當前活躍的 GitHub 用戶賬戶視為攻擊對象。

其次，獲取相應目標（GitHub 用戶）的電子郵件地址。據了解，攻擊者可以利用 GitHub 上的公共 commits 來獲取所需的電子郵件地址。

然后，攻擊者會模仿 GitHub 官方登錄頁面，制作與其“長得一模一樣”的虛假登錄頁面。

最后，攻擊者將從合法域名下給 GitHub 用戶發送釣魚郵件。

ä¸“é—¨çªƒå–GitHubè´¦æˆ·ï¼Œè¿™ç§é’“é±¼æ´»åŠ¨å€¼å¾—å¼€å‘è€…è¦æƒ•

GitHub 官方博客揭示，這種釣魚郵件會利用“各種誘餌”來欺騙目標點擊嵌入信息的惡意鏈接。釣魚信息會聲稱，一個 GitHub 用戶賬戶的存儲庫或設置已經被更改，或是未經授權的活動被刪除。然后，這則信息會邀請用戶點擊一個惡意鏈接來檢查這個更改。

一旦用戶被騙，他就會點擊惡意鏈接去核實自己的賬戶活動，此時，用戶就會被重定向到一個虛假的 GitHub 登錄頁面。

這個假頁面會收集用戶的登錄憑證，然后將其發送到攻擊者所控制的服務器上。

對使用基于 TOTP 雙因素認證的用戶來說，這個站點會將任意的 TOTP codes 轉發給攻擊者，這就讓其可以順利進入受 TOTP 雙因素認證保護的賬戶。

舉個例子，4 月 4 日，有用戶收到一封郵件，讓用戶檢查其賬戶活動：

ä¸“é—¨çªƒå–GitHubè´¦æˆ·ï¼Œè¿™ç§é’“é±¼æ´»åŠ¨å€¼å¾—å¼€å‘è€…è¦æƒ•

如果用戶點擊鏈接，它就將用戶轉到虛假站點：

ä¸“é—¨çªƒå–GitHubè´¦æˆ·ï¼Œè¿™ç§é’“é±¼æ´»åŠ¨å€¼å¾—å¼€å‘è€…è¦æƒ•

用戶一旦輸入賬戶和密碼，點擊登錄，那就完了！

不過，GitHub SIRT 解釋道，“對于這種攻擊，受 hardware security keys 保護的賬戶影響不大。”

GitHub 披露了攻擊者所使用的一些策略：

針對 Sawfish 釣魚攻擊，GitHub 給出了一些建議：

為了阻止釣魚攻擊取得成功，GitHub 建議“考慮使用硬件安全密鑰和 WebAuthn 雙因素認證。同時，也可以選擇使用瀏覽器內置的密碼管理器。“

GitHub 表示，通過自動填充或識別出你此前保存密碼的合法域名，它們可能提供一定程度的釣魚防護。如果你的密碼管理器沒有識別出當前訪問的網站，它可能就是個釣魚站點。

再次提醒廣大 GitHub 用戶，千萬要核實別在釣魚網站輸入登錄憑證，確認地址欄的 URL 是 https://github.com/login 和網站的 TLS 證書是發給 GitHub, Inc。

據 GitHub 表示，它們注意到被攻擊者使用的釣魚域名，其中，大多數已經 offline，但攻擊者還在不斷地創建新域名，并且會繼續如此。

責任編輯：張燕妮來源：架構頭條