較早前我們曾經寫過攻擊者如何使用合法的社交媒體架構,發送頗具說服力的訊息進行密碼盜竊,而GitHub上也發生針對開發者帳號的類似行為,即使是熟識IT的用戶,也隨時掉入這個求職陷阱。
騎劫GitHub帳號
首先受害者會收到由正常GitHub電郵地址發送的電郵,聲稱GitHub團隊正尋找有經驗的開發者,並提供極具吸引力的薪酬,18萬美元年薪及其他福利,並提供申請連結予對職位有興趣者。這電郵來自notifications@github.com,的而且確是來自有關服務,然而正常情況下應該會懷疑,為何HR團隊會使用notification地址在工作機會上,而且電郵主題也與工作機會無關,只有一系列的GitHub用戶名稱。
不過由於電郵作者以大批量形式發送,所以不太擔心損失幾個潛在目標,只要有少部份收件者被薪酬掩蓋雙眼而掉入陷阱已經心滿意足。點擊連結會把收件者帶到偽裝成GitHub的職業網站,尤其看見網址是githubtalentcommunity[.]online和githubcareers[.]online,不過以上兩個釣魚網站已經不再存在。於網站內,開發者如果對職位感興趣,會被要求發入他們的GitHub帳號並授權新OAuth應用程式,該應用程式要求幾個權限,包括存取私人儲存庫、個人資料和討論,還有刪除由目標用戶管理的任何儲存庫資料。
除了工作機會,研究人員也觀察到有另一種電郵內容,聲稱GitHub被黑客入侵,保安團隊需要用戶的授權才能消除黑客帶來的影響。
儲存庫遭刪除和要求贖款
如果有開發者不慎安裝了OAuth應用程式並容許所有權限要求,攻擊者便會開始利用,把受害者的儲存庫清空並更改名稱,留下一個README.me的檔案,檔案內含有資料已被入侵的訊息,但攻擊者已留有備份,想恢復資料的話受害者被要求在Telegram與用戶名稱Gitloker的人聯絡。
很明顯一開始的詐騙電郵是利用GitHub討論系統發送,攻擊者使用已入侵的帳號創建訊息,準備不同的主題後便標記不同的用戶,結果被標記的用戶便會收到由notifications@github.com發出的電郵,而訊息在發出後便會差不多立即刪除。
防範針對GitHub帳號的攻擊
有經驗的用戶和開發者經常覺得他們不會掉入釣魚陷阱,然而這個故事顯示他們也會有掉以輕心的時候,有關的攻擊已經成功入侵和刪除幾十個儲存庫,為免自己成為下個受害者,不妨參考以下建議:
- 時刻小心檢查所有電郵的仔細項目,對比主題、內文和發送者地址,所有差異都可能是網絡釣魚的跡象。
- 如果收到類似的GitHub電郵,不要點擊任何連結,並向GitHub支援報告。
- 永不授權來歷不明的OAuth應用程式,後果可以相當嚴重。
- 定期檢視GitHub內已授權的OAuth應用程式,並移險可疑的存在。
資料來源:Kaspersky Blog