写点什么

GitHub 用户注意:Sawfish 钓鱼攻击来了

  • 2020-04-21
  • 本文字数:1614 字

    阅读完需:约 5 分钟

GitHub用户注意:Sawfish钓鱼攻击来了


近日,GitHub 官方博客披露一则消息:网络犯罪分子发起了一种钓鱼活动,将 GitHub 用户视为攻击目标,试图获取其账户权限。


一旦用户中招,后果可能很严重。攻击者不仅能控制 GitHub 用户的账户,而且还能获取其他重要信息和内容。


据 GitHub 官方透露,这种钓鱼活动被称为 Sawfish(锯鳐),以 GitHub 用户为攻击目标,它通过模仿 GitHub 的登录页面来收集和窃取用户的登录凭证。一旦登录凭证得手,攻击者就能接管用户账户。除此之外,攻击者还会立即下载用户私有库的内容。


GitHub 安全事件响应团队(SIRT)在博客中写道,“如果攻击者成功窃取了 GitHub 用户账户的登录凭证,为了在用户更改密码后能继续访问,它们可能在这个账户上快速地创建 GitHub 个人访问令牌或授权的 OAuth applications。”


GitHub SIRT 表示,发布此消息,一方面是为了提高用户的安全意识,另一方面是提醒用户保护好其账户和存储库。

钓鱼攻击目标:活跃的 GitHub 账户

根据笔者分析,这种钓鱼活动首先选择目标,它将各个国家为科技公司工作且当前活跃的 GitHub 用户账户视为攻击对象。


其次,获取相应目标(GitHub 用户)的电子邮件地址。据了解,攻击者可以利用 GitHub 上的公共 commits 来获取所需的电子邮件地址。


然后,攻击者会模仿 GitHub 官方登录页面,制作与其“长得一模一样”的虚假登录页面。


最后,攻击者将从合法域名下给 GitHub 用户发送钓鱼邮件。



GitHub 官方博客揭示,这种钓鱼邮件会利用“各种诱饵”来欺骗目标点击嵌入信息的恶意链接。钓鱼信息会声称,一个 GitHub 用户账户的存储库或设置已经被更改,或是未经授权的活动被删除。然后,这则信息会邀请用户点击一个恶意链接来检查这个更改。


一旦用户被骗,他就会点击恶意链接去核实自己的账户活动,此时,用户就会被重定向到一个虚假的 GitHub 登录页面。


这个假页面会收集用户的登录凭证,然后将其发送到攻击者所控制的服务器上。


对使用基于TOTP双因素认证的用户来说,这个站点会将任意的 TOTP codes 转发给攻击者,这就让其可以顺利进入受 TOTP 双因素认证保护的账户。


举个例子,4 月 4 日,有用户收到一封邮件,让用户检查其账户活动:



然后,它将用户转到虚假站点:



用户一旦输入账户和密码,点击登录,那就完了!


不过,GitHub SIRT 解释道,“对于这种攻击,受 hardware security keys 保护的账户影响不大。”


GitHub 披露了攻击者所使用的一些策略:


  • 使用 URL-shortening 服务来隐藏恶意链接的真实“目的地”。为了进一步的造成混淆,攻击者有时会将多种 URL-shortening 服务混在一起;

  • 为了让攻击中用到的恶意链接看起来更不易受到怀疑,攻击者也会在 compromised sites 使用基于 PHP 的重定向程序。

怎样防御这种钓鱼攻击?

针对 Sawfish 钓鱼攻击,GitHub 给出了一些建议:


  1. 立即重置密码;

  2. 立即重置 two-factor recovery codes;

  3. 检查个人访问令牌;

  4. 采取额外步骤检查和保护账户安全


为了阻止钓鱼攻击取得成功,GitHub 建议“考虑使用硬件安全密钥和 WebAuthn 双因素认证。同时,也可以选择使用浏览器内置的密码管理器。“


GitHub 表示,通过自动填充或识别出你此前保存密码的合法域名,它们可能提供一定程度的钓鱼防护。如果你的密码管理器没有识别出当前访问的网站,它可能就是个钓鱼站点。


再次提醒广大 GitHub 用户,千万要核实别在钓鱼网站输入登录凭证,确认地址栏的 URL 是https://github.com/login和网站的 TLS 证书是发给 GitHub, Inc。



已知的钓鱼域名

据 GitHub 表示,它们注意到被攻击者使用的钓鱼域名,其中,大多数已经 offline,但攻击者还在不断地创建新域名,并且继续如此。


  • aws-update[.]net

  • corp-github[.]com

  • ensure-https[.]com

  • git-hub[.]co

  • git-secure-service[.]in

  • githb[.]co

  • glt-app[.]net

  • glt-hub[.]com

  • glthub[.]co

  • glthub[.]info

  • glthub[.]net

  • glthubb[.]info

  • glthube[.]app

  • glthubs[.]com

  • glthubs[.]info

  • glthubs[.]net

  • glthubse[.]info

  • slack-app[.]net

  • ssl-connection[.]net

  • sso-github[.]com

  • sts-github[.]com

  • tsl-github[.]com


2020-04-21 14:338962
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 355.7 次阅读, 收获喜欢 1799 次。

关注

评论 1 条评论

发布
用户头像
丧心病狂
2020-04-26 11:24
回复
没有更多了
发现更多内容

第五周 第二课笔记

Geek_娴子

涨薪50%,从小厂逆袭快手 - 附面经

haxianhe

面试

三年Java开发,年底跳槽挂了阿里和字节,却收获美团offer,分享大厂面试心得

Java架构之路

Java 程序员 架构 面试 编程语言

安卓开发环境!一份字节跳动面试官给你的Android技术面试指南,终获offer

欢喜学安卓

android 程序员 面试 移动开发

“他者”德意志(二):“走稳路”的德国半导体

脑极体

架构设计篇之微服务实战笔记(八)

小诚信驿站

架构 刘晓成 小诚信驿站 28天写作

2021最新华为面经分享:Java高分面试指南(25分类1000题50w字解析)

比伯

Java 编程 架构 面试 计算机

开发者的福音,go也支持linq了

happlyfox

学习 28天写作 2月春节不断更 Go 语言

程序员成长第十四篇:做好时间管理(二)

石云升

程序员 时间管理 28天写作 2月春节不断更

第五周笔记

Ashley.

LeetCode题解:121. 买卖股票的最佳时机,JavaScript,动态规划,详细注释

Lee Chen

算法 大前端 LeetCode

第五周作业

Ashley.

基于matlab的控制系统与仿真6-PID控制模型

AXYZdong

matlab 2月春节不断更

Nginx入门的基本使用和配置详解

数据库 架构 运维

Newbe.Claptrap 框架入门,第一步 —— 开发环境准备

newbe36524

Docker 云计算 分布式 微服务 .net core

《华为技术认证HCNA网络技术实验指南》参考配置Ⅰ

依旧廖凯

华为 网络 交换机

普本毕业,阿里五面成功斩下offer,名校出身的我究竟输在哪?

Java架构之路

Java 程序员 架构 面试 编程语言

第五周 第一课笔记

Geek_娴子

神操:凭借“阿里Java脑图”,成功斩获腾讯、蚂蚁、B站、字节、滴滴等5个Offer

Java架构师迁哥

2021最全iOS面试题及底层视频分享专栏

ios 面试 音视频 iOS底层 iOS逆向

GitHub上连夜被下架!阿里巴巴2021版JDK源码笔记(2月第三版)

Java架构追梦

Java 阿里巴巴 面试 jdk源码 金三银四

日记 2021年2月27日(周六)

Changing Lin

2月春节不断更

诊所数字化:实施私域,诊所店员的赋能路径

boshi

数字化医疗 私域运营 七日更 28天写作

Newbe.Claptrap 框架入门,第二步 —— 创建项目

newbe36524

Docker 云计算 分布式 微服务 .net core

2021年金三银四Java面试突击大全,吃透这套Java真题合集,突破BAT面试官这道“防线”

Java 架构 面试

成为阿里P7移动架构师到底有多难?带你快速通过字节跳动面试,讲的明明白白!

欢喜学安卓

android 程序员 面试 移动开发

备战金三银四必备:2021最新Java面试汇总(附答案解析)

比伯

Java 编程 架构 面试 计算机

金融数字化转型浪潮呼啸而来 大数据区块链落地场景全面开花

CECBC

金融

公链,区块链的未来和归宿

CECBC

区块链

紧急寻人,还缺75万!区块链产业为何“一才难求”?

CECBC

区块链人才

最新“美团+字节+腾讯”三面面经,你能撑到哪一面?

Java架构之路

Java 程序员 架构 面试 编程语言

GitHub用户注意:Sawfish钓鱼攻击来了_安全_万佳_InfoQ精选文章