写点什么

GitHub 用户注意:Sawfish 钓鱼攻击来了

  • 2020-04-21
  • 本文字数:1614 字

    阅读完需:约 5 分钟

GitHub用户注意:Sawfish钓鱼攻击来了


近日,GitHub 官方博客披露一则消息:网络犯罪分子发起了一种钓鱼活动,将 GitHub 用户视为攻击目标,试图获取其账户权限。


一旦用户中招,后果可能很严重。攻击者不仅能控制 GitHub 用户的账户,而且还能获取其他重要信息和内容。


据 GitHub 官方透露,这种钓鱼活动被称为 Sawfish(锯鳐),以 GitHub 用户为攻击目标,它通过模仿 GitHub 的登录页面来收集和窃取用户的登录凭证。一旦登录凭证得手,攻击者就能接管用户账户。除此之外,攻击者还会立即下载用户私有库的内容。


GitHub 安全事件响应团队(SIRT)在博客中写道,“如果攻击者成功窃取了 GitHub 用户账户的登录凭证,为了在用户更改密码后能继续访问,它们可能在这个账户上快速地创建 GitHub 个人访问令牌或授权的 OAuth applications。”


GitHub SIRT 表示,发布此消息,一方面是为了提高用户的安全意识,另一方面是提醒用户保护好其账户和存储库。

钓鱼攻击目标:活跃的 GitHub 账户

根据笔者分析,这种钓鱼活动首先选择目标,它将各个国家为科技公司工作且当前活跃的 GitHub 用户账户视为攻击对象。


其次,获取相应目标(GitHub 用户)的电子邮件地址。据了解,攻击者可以利用 GitHub 上的公共 commits 来获取所需的电子邮件地址。


然后,攻击者会模仿 GitHub 官方登录页面,制作与其“长得一模一样”的虚假登录页面。


最后,攻击者将从合法域名下给 GitHub 用户发送钓鱼邮件。



GitHub 官方博客揭示,这种钓鱼邮件会利用“各种诱饵”来欺骗目标点击嵌入信息的恶意链接。钓鱼信息会声称,一个 GitHub 用户账户的存储库或设置已经被更改,或是未经授权的活动被删除。然后,这则信息会邀请用户点击一个恶意链接来检查这个更改。


一旦用户被骗,他就会点击恶意链接去核实自己的账户活动,此时,用户就会被重定向到一个虚假的 GitHub 登录页面。


这个假页面会收集用户的登录凭证,然后将其发送到攻击者所控制的服务器上。


对使用基于TOTP双因素认证的用户来说,这个站点会将任意的 TOTP codes 转发给攻击者,这就让其可以顺利进入受 TOTP 双因素认证保护的账户。


举个例子,4 月 4 日,有用户收到一封邮件,让用户检查其账户活动:



然后,它将用户转到虚假站点:



用户一旦输入账户和密码,点击登录,那就完了!


不过,GitHub SIRT 解释道,“对于这种攻击,受 hardware security keys 保护的账户影响不大。”


GitHub 披露了攻击者所使用的一些策略:


  • 使用 URL-shortening 服务来隐藏恶意链接的真实“目的地”。为了进一步的造成混淆,攻击者有时会将多种 URL-shortening 服务混在一起;

  • 为了让攻击中用到的恶意链接看起来更不易受到怀疑,攻击者也会在 compromised sites 使用基于 PHP 的重定向程序。

怎样防御这种钓鱼攻击?

针对 Sawfish 钓鱼攻击,GitHub 给出了一些建议:


  1. 立即重置密码;

  2. 立即重置 two-factor recovery codes;

  3. 检查个人访问令牌;

  4. 采取额外步骤检查和保护账户安全


为了阻止钓鱼攻击取得成功,GitHub 建议“考虑使用硬件安全密钥和 WebAuthn 双因素认证。同时,也可以选择使用浏览器内置的密码管理器。“


GitHub 表示,通过自动填充或识别出你此前保存密码的合法域名,它们可能提供一定程度的钓鱼防护。如果你的密码管理器没有识别出当前访问的网站,它可能就是个钓鱼站点。


再次提醒广大 GitHub 用户,千万要核实别在钓鱼网站输入登录凭证,确认地址栏的 URL 是https://github.com/login和网站的 TLS 证书是发给 GitHub, Inc。



已知的钓鱼域名

据 GitHub 表示,它们注意到被攻击者使用的钓鱼域名,其中,大多数已经 offline,但攻击者还在不断地创建新域名,并且继续如此。


  • aws-update[.]net

  • corp-github[.]com

  • ensure-https[.]com

  • git-hub[.]co

  • git-secure-service[.]in

  • githb[.]co

  • glt-app[.]net

  • glt-hub[.]com

  • glthub[.]co

  • glthub[.]info

  • glthub[.]net

  • glthubb[.]info

  • glthube[.]app

  • glthubs[.]com

  • glthubs[.]info

  • glthubs[.]net

  • glthubse[.]info

  • slack-app[.]net

  • ssl-connection[.]net

  • sso-github[.]com

  • sts-github[.]com

  • tsl-github[.]com


2020-04-21 14:338821
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 333.5 次阅读, 收获喜欢 1794 次。

关注

评论 1 条评论

发布
用户头像
丧心病狂
2020-04-26 11:24
回复
没有更多了
发现更多内容

沉默的618下,美妆品牌如何踏上破局之路?

游读分享

【Linux】之Centos7安装KVM虚拟化及相关命令

A-刘晨阳

Linux 虚拟化 kvm 三周年连更

宠物行业如何做留存?答案都在这里了!

游读分享

迪斯克Disrupt DEX众筹挖矿系统开发技术

薇電13242772558

dapp

语雀-使用指南

六月的雨在InfoQ

在线文档 在线协同文档 三周年连更 语雀

Gradio入门到进阶全网最详细教程[一]:快速搭建AI算法可视化部署演示(侧重项目搭建和案例分享)

汀丶人工智能

人工智能 机器学习 深度学习 Gradio streamlit

黄凯耀:深度解读openGauss架构创新与新特性

openGauss

再次!openGauss荣获中国软协产业协会多个奖项

openGauss

易观千帆 | 2023年3月证券APP月活跃用户规模盘点

易观分析

证券 经济

代码优雅之道——如何干掉过多的if else

小小怪下士

Java 程序员 后端 代码

复旦MOSS大模型开源了!Github和Hugging Face同时上线

Openlab_cosmoplat

人工智能 开源项目 ChatGPT

Qz学算法-数据结构篇(查找算法--线性、二分)

浅辄

数据结构 三周年连更

李士福:openGauss 自驾驶数据库内核在AI领域的探索和创新

openGauss

如何优雅的处理异常

京东科技开发者

异常处理 java 抛出异常 企业号 4 月 PK 榜 throwale

执行个 DEL 竟然也会阻塞 Redis?深挖一下果然不简单

架构精进之路

redis 缓存 后端 bigkey 三周年连更

使用AI优化慢SQL,开发秒变DBA

NineData

sql AI 开发者 dba NineData

连接OpenAI两大智能产品Whisper & DALL·E,实现智能语音转文本/文本转图像

集简云开放平台

AI 智能 openai 数据集成平台 AI绘画

Java如何获取@ApiModelProperty(value = “序列号“, name = “uuid“)注解中的value值name值?

bug菌

三周年连更 获取注解值

算法题每日一练:最长递增子序列

知心宝贝

数据结构 算法 前端 后端 三周年连更

大数据之Hadoop图解概述

袁袁袁袁满

三周年连更

流量即生意!红海中的茶饮品牌如何做增量?

游读分享

一些常见的字符串匹配算法

京东科技开发者

字符串 字符串匹配算法 企业号 4 月 PK 榜 文本处理

JUnit 5 参数化测试

码语者

Java JUnit

突破传统监测模式:业务状态监控HM的新思路

京东科技开发者

系统架构 监控系统 数据监控 业务监控 企业号 4 月 PK 榜

用友联合7家信创生态伙伴成立“信创领先实践联盟”,助力企业数智化国产替代

用友BIP

openGauss:共建数据库根社区,打造开源数据库核心竞争力

openGauss

《API加速优化方案:多级缓存设计》

后台技术汇

三周年连更

用友BIP助力中国领先企业数智化国产替代

用友BIP

国产替代

孔再华:openGauss在民生银行的应用实践

openGauss

如何建设一个用于编译 iOS App 的 macOS 云服务器集群?

京东科技开发者

ios 编译 CI/CD 企业号 4 月 PK 榜 云服务集群

Nginx常用配置及和基本功能讲解

京东科技开发者

nginx 负载均衡 正向代理与反向代理 企业号 4 月 PK 榜 Nginx入门

GitHub用户注意:Sawfish钓鱼攻击来了_安全_万佳_InfoQ精选文章