Contas do GitHub roubadas em ataques de phishing

GitHub corrige falha de segurança grave detectada pelo Google
O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google.

O ano de 2020 não está sendo bom em termos de segurança de computadores. Depois da invasão de contas do Zoom, parece que agora foi a vez do GitHub, serviço de hospedagem da Microsoft. São muitos os usuários que relatam quase terem caído em uma campanha de ataque de phishing projetada especificamente para coletar e terem as credenciais roubadas através de páginas apócrifas que imitam a página de login das contas do GitHub.

Contas do GitHub roubadas em ataques de phishing. Um perigo real para desenvolvedores e usuários

Contas do GitHub roubadas em ataques de pishing

Imediatamente após assumir o controle de uma conta, os atacantes continuam baixando o conteúdo de repositórios privados sem demora, com foco específico em contas da organização e de outros colaboradores.

De acordo com a Equipe de resposta a incidentes de segurança (SIRT) do GitHub, esses são os riscos

Se o invasor roubar com êxito as credenciais da conta de usuário do GitHub, ele poderá criar rapidamente tokens de acesso pessoal do GitHub ou autorizar aplicativos OAuth na conta para preservar o acesso, caso o usuário altere sua senha.

De acordo com o SIRT, essa campanha de phishing chamada Sawfish pode afetar todas as contas ativas do GitHub.

A principal ferramenta para acessar contas é o e-mail . As mensagens usam vários truques para fazer com que os destinatários cliquem no link malicioso incluído no texto. Alguns dizem que atividades não autorizadas foram detectadas, enquanto outros mencionam alterações nos repositórios ou configurações da conta do usuário de destino.

Os usuários que se enganam e clicam para verificar a atividade da conta são redirecionados para uma página de login falsa do GitHub que coleta suas credenciais e as envia para servidores controlados pelo invasor.

A página falsa usada pelos atacantes também receberá os códigos de autenticação em duas etapas das vítimas, se eles estiverem usando um aplicativo móvel TOTP (senha de uso único com senha).

Para o SIRT até agora, as contas protegidas por chaves de segurança baseadas em hardware não estão vulneráveis a esse ataque.

É assim que o ataque funciona

Até onde se sabe, as vítimas preferidas dessa campanha de phishing são atualmente usuários ativos do GitHub que trabalham para empresas de tecnologia em vários países e o fazem usando endereços de e-mail conhecidos publicamente.

Os e-mails de phishing são enviados usando domínios legítimos, usando servidores de e-mail comprometidos anteriormente ou com a ajuda de credenciais de API roubadas de provedores legítimos de serviços de e-mail em massa.

Os invasores também usam serviços de encurtamento de URL criados para ocultar os URLs das páginas de destino. Eles ainda podem encadear vários serviços de encurtamento de URL para tornar a detecção ainda mais difícil. Além disso, o uso de redirecionamentos baseados em PHP de sites comprometidos foi detectado.

Algumas maneiras de se defender contra ataques

De acordo com as recomendações dos gerenciadores de segurança, é conveniente que, se você tiver uma conta do GitHub, faça o seguinte:

  • Alterar senha
  • Redefina os códigos de recuperação em duas etapas.
  • Analise os tokens de acesso pessoal.
  • Alterne para autenticação usando hardware ou WebAuthn.
  • Use um manipulador de senha baseado em navegador. Eles fornecem um certo grau de proteção contra pishing, pois eles perceberão que não é um link visitado anteriormente.

E, claro, um que nunca falha. Nunca clique em um link enviado a você por e-mail. Escreva o endereço manualmente ou coloque-o nos marcadores.

Enfim, são notícias surpreendentes. Não estamos falando de uma rede social, mas de um site que, de acordo com sua própria descrição, é:

uma plataforma de desenvolvimento de software colaborativo para hospedar projetos usando o sistema de controle de versão Git. O código é armazenado publicamente, embora também possa ser feito em particular …

Em outras palavras, seus usuários são as pessoas que criam os aplicativos que usamos e, portanto, aqueles que precisam adicionar recursos de segurança a eles. É como se eles invadissem o Departamento de Polícia.

Desde Linux

Acesse a versão completa
Sair da versão mobile