[[323554]]

近日，GitHub 官方博客披露一則消息：網(wǎng)絡(luò)犯罪分子發(fā)起一種釣魚活動(dòng)，將 GitHub 用戶視為攻擊目標(biāo)，試圖獲取其賬戶權(quán)限。

一旦用戶中招，后果可能很嚴(yán)重。攻擊者不僅能控制 GitHub 用戶的賬戶，而且還能獲取其他重要信息和內(nèi)容。

據(jù) GitHub 官方透露，這種釣魚活動(dòng)被稱為 Sawfish（鋸鰩），以 GitHub 用戶為攻擊目標(biāo)，它通過模仿 GitHub 的登錄頁面來收集和竊取用戶的登錄憑證。一旦登錄憑證得手，攻擊者就能接管用戶賬戶。除此之外，攻擊者還會(huì)立即下載用戶私有庫的內(nèi)容。

GitHub 安全事件響應(yīng)團(tuán)隊(duì)（SIRT）在博客中寫道，“如果攻擊者成功竊取了 GitHub 用戶賬戶的登錄憑證，為了在用戶更改密碼后能繼續(xù)訪問，它們可能在這個(gè)賬戶上快速地創(chuàng)建GitHub 個(gè)人訪問令牌或授權(quán)的 OAuth applications。”

GitHub SIRT 表示，發(fā)布此消息，一方面是為了提高用戶的安全意識(shí)，另一方面是提醒用戶保護(hù)好其賬戶和存儲(chǔ)庫。

1. 瞄準(zhǔn)目標(biāo)：活躍的 GitHub 賬戶

據(jù)悉，這種釣魚活動(dòng)首先選擇目標(biāo)，它將各個(gè)國家為科技公司工作且當(dāng)前活躍的 GitHub 用戶賬戶視為攻擊對(duì)象。

其次，獲取相應(yīng)目標(biāo)（GitHub 用戶）的電子郵件地址。據(jù)了解，攻擊者可以利用 GitHub 上的公共 commits 來獲取所需的電子郵件地址。

然后，攻擊者會(huì)模仿 GitHub 官方登錄頁面，制作與其“長得一模一樣”的虛假登錄頁面。

最后，攻擊者將從合法域名下給 GitHub 用戶發(fā)送釣魚郵件。

GitHub 官方博客揭示，這種釣魚郵件會(huì)利用“各種誘餌”來欺騙目標(biāo)點(diǎn)擊嵌入信息的惡意鏈接。釣魚信息會(huì)聲稱，一個(gè) GitHub 用戶賬戶的存儲(chǔ)庫或設(shè)置已經(jīng)被更改，或是未經(jīng)授權(quán)的活動(dòng)被刪除。然后，這則信息會(huì)邀請(qǐng)用戶點(diǎn)擊一個(gè)惡意鏈接來檢查這個(gè)更改。

一旦用戶被騙，他就會(huì)點(diǎn)擊惡意鏈接去核實(shí)自己的賬戶活動(dòng)，此時(shí)，用戶就會(huì)被重定向到一個(gè)虛假的 GitHub 登錄頁面。

這個(gè)假頁面會(huì)收集用戶的登錄憑證，然后將其發(fā)送到攻擊者所控制的服務(wù)器上。

對(duì)使用基于 TOTP 雙因素認(rèn)證的用戶來說，這個(gè)站點(diǎn)會(huì)將任意的 TOTP codes 轉(zhuǎn)發(fā)給攻擊者，這就讓其可以順利進(jìn)入受 TOTP 雙因素認(rèn)證保護(hù)的賬戶。

舉個(gè)例子，4 月 4 日，有用戶收到一封郵件，讓用戶檢查其賬戶活動(dòng)：

如果用戶點(diǎn)擊鏈接，它就將用戶轉(zhuǎn)到虛假站點(diǎn)：

用戶一旦輸入賬戶和密碼，點(diǎn)擊登錄，那就完了！

不過，GitHub SIRT 解釋道，“對(duì)于這種攻擊，受 hardware security keys 保護(hù)的賬戶影響不大。”

GitHub 披露了攻擊者所使用的一些策略：

• 使用 URL-shortening 服務(wù)來隱藏惡意鏈接的真實(shí)“目的地”。為了進(jìn)一步的造成混淆，攻擊者有時(shí)會(huì)將多種 URL-shortening 服務(wù)混在一起；
• 為了讓攻擊中用到的惡意鏈接看起來更不易受到懷疑，攻擊者也會(huì)在 compromised sites 使用基于 PHP 的重定向程序。

2. 怎樣防御這種釣魚攻擊？

針對(duì) Sawfish 釣魚攻擊，GitHub 給出了一些建議：

1. 立即重置密碼；
2. 立即重置 two-factor recovery codes；
3. 檢查個(gè)人訪問令牌；
4. 采取額外步驟檢查和保護(hù)賬戶安全

為了阻止釣魚攻擊取得成功，GitHub 建議“考慮使用硬件安全密鑰和 WebAuthn 雙因素認(rèn)證。同時(shí)，也可以選擇使用瀏覽器內(nèi)置的密碼管理器。“

GitHub 表示，通過自動(dòng)填充或識(shí)別出你此前保存密碼的合法域名，它們可能提供一定程度的釣魚防護(hù)。如果你的密碼管理器沒有識(shí)別出當(dāng)前訪問的網(wǎng)站，它可能就是個(gè)釣魚站點(diǎn)。

再次提醒廣大 GitHub 用戶，千萬要核實(shí)別在釣魚網(wǎng)站輸入登錄憑證，確認(rèn)地址欄的 URL 是 https://github.com/login 和網(wǎng)站的 TLS 證書是發(fā)給 GitHub, Inc。

3. 已知的釣魚活動(dòng)域名

據(jù) GitHub 表示，它們注意到被攻擊者使用的釣魚域名，其中，大多數(shù)已經(jīng) offline，但攻擊者還在不斷地創(chuàng)建新域名，并且會(huì)繼續(xù)如此。

• aws-update[.]net
• corp-github[.]com
• ensure-https[.]com
• git-hub[.]co
• git-secure-service[.]in
• githb[.]co
• glt-app[.]net
• glt-hub[.]com
• glthub[.]co
• glthub[.]info
• glthub[.]net
• glthubb[.]info
• glthube[.]app
• glthubs[.]com
• glthubs[.]info
• glthubs[.]net
• glthubse[.]info
• slack-app[.]net
• ssl-connection[.]net
• sso-github[.]com
• sts-github[.]com
• tsl-github[.]com