GitHub – kho lưu giữ phần mềm nguồn mở thật to lớn thế giới, hiện đang trở thành mục đích của một chiến dịch tiến công lừa đảo (phishing attack) được thiết kế đặc biệt để thu thập và đánh cắp tin tức đăng nhập của các thành viên thông qua những website giả mạo học theo trang đăng nhập của GitHub.
Bên cạnh việc cướp đoạt tài khoản của người sử dụng Github, những kẻ tấn công cũng sẽ ngay tức thì download toàn bộ nội dung các private repositories của nạn nhân, bao gồm nhưng vẫn không giới hạn ở “những gia sản thuộc nắm giữ của tài khoản tổ chức và các cộng tác viên khác”.
“Nếu những kẻ tiến công đánh cắp thành đạt tin tức đăng nhập tài khoản của người sử dụng GitHub, chúng cũng đều có thể mau chóng tạo mã thông báo truy cập cá nhân GitHub hoặc ủy quyền cho các ứng dụng OAuth trên tài khoản để duy trì quyền truy cập trong tình huống nạn nhân thay đổi mật khẩu”, đại diện đội ngũ ứng phó sự cố an ninh của GitHub (SIRT) cho thấy trong 1 cảnh báo.
GitHub
Tấn công lừa đảo nhắm vào các tài khoản GitHub đang hoạt động
Thông qua email lừa đảo, hacker sử dụng nhiều loại “mồi nhử” không giống nhau nhằm lừa mục tiêu nhấp vào liên kết độc hại đính kèm. Trong trường hợp người dùng GitHub bị lừa và nhấp vào liên kết để kiểm tra hoạt động tài khoản của mình, họ sẽ có chuyển hướng đến trang đăng nhập GitHub giả mạo, được thiết kế giống thật tới 99%. Nếu nạn nhân không nhận biết và nhập tin tức đăng nhập như bình thường, toàn bộ tin tức đăng nhập tài khoản của họ sẽ bị lưu lại và gửi đến các máy server do kẻ tiến công kiểm soát.
Bên cạnh đó, trang đích lừa đảo cũng sẽ lọc mã 2FA của nạn nhân trong thời gian thực nếu họ đang sử dụng ứng dụng di động với thuật toán mật khẩu một lần dựa trên thời gian (TOTP). Cơ chế hiểm nguy này cho phép kẻ tiến công dễ dàng đột nhập vào tài khoản được bảo quản bằng phương thức xác thực hai yếu tố dựa trên TOTP.
“Tuy nhiên, các tài khoản được bảo quản bởi khóa bảo mật phần cứng (hardware security key) sẽ gần như tránh bị ảnh hưởng bởi phương thức tiến công này”, SIRT cho biết.
Chiến dịch lừa đảo đang diễn ra này nhắm mục đích chủ yếu đến người sử dụng GitHub hiện đang làm việc cho các công ty công nghệ tại nhiều quốc gia khác nhau, sử dụng địa chỉ email nhận được từ các cam kết công khai.
Đặc biệt, email lừa đảo được gửi từ những tên miền hợp pháp, sử dụng các máy chủ email bị xâm nhập trước đấy hoặc với sự trợ giúp của thông tin API bị đánh cắp của các nhà sản xuất dịch vụ email đồng loạt hợp pháp.
Ngoài ra, những kẻ tấn công đứng sau chiến dịch này cũng sử dụng các dịch vụ rút ngắn URL được thiết kế để ẩn URL của trang đích, cùng lúc kết hợp xâu chuỗi nhiều dịch vụ tinh giảm URL nhằm tăng cường khả năng che giấu. Bên cạnh đó, để khiến liên kết độc hại đính kèm trong email khó bị nhận diện hơn, chúng cũng sử dụng các chuyển hướng dựa theo PHP trên những website bị xâm nhập.
Khuyến nghị bảo mật từ GitHub
Khuyến nghị được đội ngũ SIRT đem ra cho người dùng Github như sau:
- Đặt lại mật khẩu tài khoản ngay lập tức.
- Đặt lại mã phục hồi hai nhân tố của tài khoản ngay lập tức.
- Xem lại mã thông báo truy cập cá nhân.
- Thực hiện các bước bổ sung để kiểm soát và bảo mật tài khoản tốt hơn.
- Xem xét sử dụng khóa bảo mật phần cứng và sử dụng trình quản lý mật khẩu tích phù hợp với trình duyệt.
- Cảnh giác thuộc mọi email gửi đến.
Từ khóa bài viết: truongthinh.info, bảo mật, tấn công mạng, github, tấn công lừa đảo, tấn công phishing, github bị tấn công phishing
Bài viết GitHub đang bị tấn công phishing mạnh, người dùng chú ý bảo mật tài khoản được tổng hợp và biên tập bởi: truongthinh.info. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho truongthinh.info để điều chỉnh. truongthinh.info xin cảm ơn.