[[323554]]

近日，GitHub 官方博客披露一則消息：網(wǎng)絡(luò)犯罪分子發(fā)起一種釣魚(yú)活動(dòng)，將 GitHub 用戶(hù)視為攻擊目標(biāo)，試圖獲取其賬戶(hù)權(quán)限。

一旦用戶(hù)中招，后果可能很?chē)?yán)重。攻擊者不僅能控制 GitHub 用戶(hù)的賬戶(hù)，而且還能獲取其他重要信息和內(nèi)容。

據(jù) GitHub 官方透露，這種釣魚(yú)活動(dòng)被稱(chēng)為 Sawfish（鋸鰩），以 GitHub 用戶(hù)為攻擊目標(biāo)，它通過(guò)模仿 GitHub 的登錄頁(yè)面來(lái)收集和竊取用戶(hù)的登錄憑證。一旦登錄憑證得手，攻擊者就能接管用戶(hù)賬戶(hù)。除此之外，攻擊者還會(huì)立即下載用戶(hù)私有庫(kù)的內(nèi)容。

GitHub 安全事件響應(yīng)團(tuán)隊(duì)（SIRT）在博客中寫(xiě)道，“如果攻擊者成功竊取了 GitHub 用戶(hù)賬戶(hù)的登錄憑證，為了在用戶(hù)更改密碼后能繼續(xù)訪(fǎng)問(wèn)，它們可能在這個(gè)賬戶(hù)上快速地創(chuàng)建GitHub 個(gè)人訪(fǎng)問(wèn)令牌或授權(quán)的 OAuth applications。”

GitHub SIRT 表示，發(fā)布此消息，一方面是為了提高用戶(hù)的安全意識(shí)，另一方面是提醒用戶(hù)保護(hù)好其賬戶(hù)和存儲(chǔ)庫(kù)。

1. 瞄準(zhǔn)目標(biāo)：活躍的 GitHub 賬戶(hù)

據(jù)悉，這種釣魚(yú)活動(dòng)首先選擇目標(biāo)，它將各個(gè)國(guó)家為科技公司工作且當(dāng)前活躍的 GitHub 用戶(hù)賬戶(hù)視為攻擊對(duì)象。

其次，獲取相應(yīng)目標(biāo)（GitHub 用戶(hù)）的電子郵件地址。據(jù)了解，攻擊者可以利用 GitHub 上的公共 commits 來(lái)獲取所需的電子郵件地址。

然后，攻擊者會(huì)模仿 GitHub 官方登錄頁(yè)面，制作與其“長(zhǎng)得一模一樣”的虛假登錄頁(yè)面。

最后，攻擊者將從合法域名下給 GitHub 用戶(hù)發(fā)送釣魚(yú)郵件。

GitHub 官方博客揭示，這種釣魚(yú)郵件會(huì)利用“各種誘餌”來(lái)欺騙目標(biāo)點(diǎn)擊嵌入信息的惡意鏈接。釣魚(yú)信息會(huì)聲稱(chēng)，一個(gè) GitHub 用戶(hù)賬戶(hù)的存儲(chǔ)庫(kù)或設(shè)置已經(jīng)被更改，或是未經(jīng)授權(quán)的活動(dòng)被刪除。然后，這則信息會(huì)邀請(qǐng)用戶(hù)點(diǎn)擊一個(gè)惡意鏈接來(lái)檢查這個(gè)更改。

一旦用戶(hù)被騙，他就會(huì)點(diǎn)擊惡意鏈接去核實(shí)自己的賬戶(hù)活動(dòng)，此時(shí)，用戶(hù)就會(huì)被重定向到一個(gè)虛假的 GitHub 登錄頁(yè)面。

這個(gè)假頁(yè)面會(huì)收集用戶(hù)的登錄憑證，然后將其發(fā)送到攻擊者所控制的服務(wù)器上。

對(duì)使用基于 TOTP 雙因素認(rèn)證的用戶(hù)來(lái)說(shuō)，這個(gè)站點(diǎn)會(huì)將任意的 TOTP codes 轉(zhuǎn)發(fā)給攻擊者，這就讓其可以順利進(jìn)入受 TOTP 雙因素認(rèn)證保護(hù)的賬戶(hù)。

舉個(gè)例子，4 月 4 日，有用戶(hù)收到一封郵件，讓用戶(hù)檢查其賬戶(hù)活動(dòng)：

如果用戶(hù)點(diǎn)擊鏈接，它就將用戶(hù)轉(zhuǎn)到虛假站點(diǎn)：

用戶(hù)一旦輸入賬戶(hù)和密碼，點(diǎn)擊登錄，那就完了！

不過(guò)，GitHub SIRT 解釋道，“對(duì)于這種攻擊，受 hardware security keys 保護(hù)的賬戶(hù)影響不大。”

GitHub 披露了攻擊者所使用的一些策略：

• 使用 URL-shortening 服務(wù)來(lái)隱藏惡意鏈接的真實(shí)“目的地”。為了進(jìn)一步的造成混淆，攻擊者有時(shí)會(huì)將多種 URL-shortening 服務(wù)混在一起；
• 為了讓攻擊中用到的惡意鏈接看起來(lái)更不易受到懷疑，攻擊者也會(huì)在 compromised sites 使用基于 PHP 的重定向程序。

2. 怎樣防御這種釣魚(yú)攻擊？

針對(duì) Sawfish 釣魚(yú)攻擊，GitHub 給出了一些建議：

1. 立即重置密碼；
2. 立即重置 two-factor recovery codes；
3. 檢查個(gè)人訪(fǎng)問(wèn)令牌；
4. 采取額外步驟檢查和保護(hù)賬戶(hù)安全

為了阻止釣魚(yú)攻擊取得成功，GitHub 建議“考慮使用硬件安全密鑰和 WebAuthn 雙因素認(rèn)證。同時(shí)，也可以選擇使用瀏覽器內(nèi)置的密碼管理器。“

GitHub 表示，通過(guò)自動(dòng)填充或識(shí)別出你此前保存密碼的合法域名，它們可能提供一定程度的釣魚(yú)防護(hù)。如果你的密碼管理器沒(méi)有識(shí)別出當(dāng)前訪(fǎng)問(wèn)的網(wǎng)站，它可能就是個(gè)釣魚(yú)站點(diǎn)。

再次提醒廣大 GitHub 用戶(hù)，千萬(wàn)要核實(shí)別在釣魚(yú)網(wǎng)站輸入登錄憑證，確認(rèn)地址欄的 URL 是 https://github.com/login 和網(wǎng)站的 TLS 證書(shū)是發(fā)給 GitHub, Inc。

3. 已知的釣魚(yú)活動(dòng)域名

據(jù) GitHub 表示，它們注意到被攻擊者使用的釣魚(yú)域名，其中，大多數(shù)已經(jīng) offline，但攻擊者還在不斷地創(chuàng)建新域名，并且會(huì)繼續(xù)如此。

• aws-update[.]net
• corp-github[.]com
• ensure-https[.]com
• git-hub[.]co
• git-secure-service[.]in
• githb[.]co
• glt-app[.]net
• glt-hub[.]com
• glthub[.]co
• glthub[.]info
• glthub[.]net
• glthubb[.]info
• glthube[.]app
• glthubs[.]com
• glthubs[.]info
• glthubs[.]net
• glthubse[.]info
• slack-app[.]net
• ssl-connection[.]net
• sso-github[.]com
• sts-github[.]com
• tsl-github[.]com