近日，GitHub官方博客披露一则消息：网络犯罪分子发起了一种钓鱼活动，将GitHub用户视为攻击目标，试图获取其账户权限。

一旦用户中招，后果可能很严重。攻击者不仅能控制GitHub用户的账户，而且还能获取其他重要信息和内容。

据GitHub官方透露，这种钓鱼活动被称为Sawfish（锯鳐），以GitHub用户为攻击目标，它通过模仿GitHub的登录页面来收集和窃取用户的登录凭证。一旦登录凭证得手，攻击者就能接管用户账户。除此之外，攻击者还会立即下载用户私有库的内容。

GitHub安全事件响应团队（SIRT）在博客中写道，“如果攻击者成功窃取了GitHub用户账户的登录凭证，为了在用户更改密码后能继续访问，它们可能在这个账户上快速地创建GitHub个人访问令牌或授权的OAuth applications。”

GitHub SIRT表示，发布此消息，一方面是为了提高用户的安全意识，另一方面是提醒用户保护好其账户和存储库。

钓鱼攻击目标：活跃的GitHub账户

根据笔者分析，这种钓鱼活动首先选择目标，它将各个国家为科技公司工作且当前活跃的GitHub用户账户视为攻击对象。

其次，获取相应目标（GitHub用户）的电子邮件地址。据了解，攻击者可以利用GitHub上的公共commits来获取所需的电子邮件地址。

然后，攻击者会模仿GitHub官方登录页面，制作与其“长得一模一样”的虚假登录页面。

最后，攻击者将从合法域名下给GitHub用户发送钓鱼邮件。

GitHub官方博客揭示，这种钓鱼邮件会利用“各种诱饵”来欺骗目标点击嵌入信息的恶意链接。钓鱼信息会声称，一个GitHub用户账户的存储库或设置已经被更改，或是未经授权的活动被删除。然后，这则信息会邀请用户点击一个恶意链接来检查这个更改。

一旦用户被骗，他就会点击恶意链接去核实自己的账户活动，此时，用户就会被重定向到一个虚假的GitHub登录页面。

这个假页面会收集用户的登录凭证，然后将其发送到攻击者所控制的服务器上。

对使用基于TOTP双因素认证的用户来说，这个站点会将任意的TOTP codes转发给攻击者，这就让其可以顺利进入受TOTP双因素认证保护的账户。

举个例子，4月4日，有用户收到一封邮件，让用户检查其账户活动：

然后，它将用户转到虚假站点：

用户一旦输入账户和密码，点击登录，那就完了！

不过，GitHub SIRT解释道，“对于这种攻击，受hardware security keys保护的账户影响不大。”

GitHub披露了攻击者所使用的一些策略：

怎样防御这种钓鱼攻击？

针对Sawfish钓鱼攻击，GitHub给出了一些建议：

为了阻止钓鱼攻击取得成功，GitHub建议“考虑使用硬件安全密钥和WebAuthn双因素认证。同时，也可以选择使用浏览器内置的密码管理器。“

GitHub表示，通过自动填充或识别出你此前保存密码的合法域名，它们可能提供一定程度的钓鱼防护。如果你的密码管理器没有识别出当前访问的网站，它可能就是个钓鱼站点。

再次提醒广大GitHub用户，千万要核实别在钓鱼网站输入登录凭证，确认地址栏的URL是https://github.com/login和网站的TLS证书是发给GitHub, Inc。

据GitHub表示，它们注意到被攻击者使用的钓鱼域名，其中，大多数已经offline，但攻击者还在不断地创建新域名，并且继续如此。