Representantes do serviço web GitHub avisou usuários de um ataque massivo de phishing chamado Sawfish.
Recentemente, os usuários recebem cada vez mais e-mails de phishing com avisos falsos sobre atividades suspeitas de uma conta registrada ou alterações estranhas feitas no repositório ou nas configurações.
“Os links anexados a essas mensagens levam a uma página de login falsa do GitHub, criado especificamente para coletar as credenciais da vítima e transmiti-las aos invasores”, – argumentam representantes do GitHub.
Os especialistas do GitHub também observam que esta campanha tem vários aspectos dignos de nota. Por exemplo, uma página de phishing é capaz de interceptar códigos de autenticação de dois fatores gerados usando um Aplicação TOTP (senha de uso único baseada em tempo).
Isso permite que invasores ataquem contas protegidas por 2FA. Ressalta-se que usuários com chaves de segurança não são afetados pelo problema.
E-mails de phishing geralmente vêm de domínios legítimos (que foram hackeados). Então, a lista de domínios de phishing observados por especialistas do GitHub inclui git-hub[.]Co, git[.]Co, glthub[.]Líquido, glthubs[.]Com e corp-github[.]Com.
"Ao mesmo tempo, ataques não direcionados a todos os usuários consecutivos, mas principalmente em usuários ativos que trabalham em grandes empresas de tecnologia. Obviamente, os invasores pegam os endereços de e-mail que os desenvolvedores usaram para commits públicos”, – dizem os pesquisadores do GitHub.
Os invasores também usam ativamente serviços de redução de URL para ocultar o endereço final de phishing (às vezes, eles combinam vários serviços de redução de URL ao mesmo tempo para confundir os rastreamentos de maneira mais confiável). Em alguns casos, as vítimas são primeiro enviadas para um site legítimo invadido e só depois diretamente para uma página de phishing.
Se o ataque for bem-sucedido e os dados registrados caírem nas mãos dos invasores, muitas vezes os hackers baixam imediatamente todo o conteúdo dos repositórios privados disponíveis para o usuário comprometido (incluindo aqueles pertencentes a organizações e outros funcionários).
Os usuários que sofreram esses ataques são solicitados a redefinir imediatamente sua senha e códigos de recuperação de dois fatores, visualizar seus tokens de acesso e tomar medidas adicionais para proteger sua conta. Além de chaves de hardware ou WebAuthn 2FA, é recomendado usar gerenciadores de senhas.
Deixe-me lembrar que escrevi recentemente que um site com SSL não é mais uma garantia para não cair na isca – quase três quartos dos sites de phishing modernos usam SSL.