Im vergangenen Monat warnte GitHub vor einer Reihe von Angriffen, die sich mit Social-Engineering gegen seine Nutzerbasis richten, wobei Behauptungen über Änderungen an Repositories oder Einstellungen im Konto des Nutzers aufgestellt wurden oder nicht autorisierte Aktivitäten entdeckt wurden.
Mithilfe einfacher E-Mail-Benachrichtigungen im Stil von Warnmeldungen versuchen Betrüger, Anmeldeinformationen zu stehlen, um Zugang zu Entwicklungscode, geistigem Eigentum und Projektdetails zu erhalten. Es ist nur eine Frage der Zeit, wann Cyberkriminelle sich auf Entwickler als potentielle Phishing-Opfer fokussieren.
In der Phishing-Nachricht wird behauptet, dass sich ein Repository oder eine Einstellung im Konto des GitHub-Benutzers geändert hat oder dass nicht autorisierte Aktivitäten entdeckt wurden. Der Benutzer wird aufgefordert, auf einen böswilligen Link zu klicken, um die Änderung zu überprüfen.
Durch Klicken auf den Link gelangt der Benutzer auf eine Phishing-Website, welche die Anmeldeseite von GitHub imitiert und alle eingegebenen Anmeldedaten stiehlt. Für Benutzer mit aktivierter TOTP-basierter Zwei-Faktor-Authentifizierung leitet die Website auch alle TOTP-Codes in Echtzeit an den Angreifer und GitHub weiter, so dass der Angreifer in Konten einbrechen kann, die durch die TOTP-basierte Zwei-Faktor-Authentifizierung geschützt sind. Konten, die durch Hardware-Sicherheitsschlüssel geschützt sind, sind für diesen Angriff nicht anfällig.
Der Angreifer wendet unter anderem die folgenden Taktiken an:
- Die Phishing-E-Mail stammt aus legitimen Domains und verwendet kompromittierte E-Mail-Server oder gestohlene API-Zugangsdaten für legitime Massen-E-Mail-Anbieter
- Kontaktaufnahme zu aktiven GitHub-Benutzern in vielen Unternehmen des Technologiesektors und in mehreren Ländern über E-Mail-Adressen, die für öffentliche Übergaben verwendet werden
- Verwendung von URL-Verkürzungsdiensten, um das wahre Ziel des bösartigen Links zu verbergen. Manchmal verkettet der Angreifer mehrere URL-Kürzungsdienste zur weiteren Verschleierung
- Verwendung von PHP-basierten Umleitern auf kompromittierten Websites, um das Opfer von einer weniger verdächtig aussehenden URL auf eine andere bösartige URL umzuleiten
- Wenn der Angreifer erfolgreich GitHub-Benutzerkonto-Anmeldedaten stiehlt, kann er schnell persönliche GitHub-Zugriffstoken erstellen oder OAuth-Anwendungen auf dem Konto autorisieren, um den Zugriff für den Fall aufrechtzuerhalten, dass der Benutzer sein Kennwort ändert
- In vielen Fällen lädt der Angreifer sofort private Repository-Inhalte herunter, auf die der kompromittierte Benutzer Zugriff hat, einschließlich solcher, die sich im Besitz von Organisationskonten und anderen Mitarbeitern befinden
Die User wurden auf eine von GitHub gesponserte Anmeldeseite geleitet. Die Angreifer nutzten sogar ein Relais für Zwei-Faktor-Authentifizierungsanfragen, um den Erstzugriff (sowohl für den Benutzer als auch für den Angreifer) zu erleichtern, selbst wenn 2FA implementiert war. Bei Angriffen wie diesem sollten Organisationen versuchen, die Passwörter und Zwei-Faktor-Token/Codes für die betroffenen Benutzer zurückzusetzen.
Die Benutzer müssen durch ein Security-Awareness-Training darauf aufmerksam gemacht werden, einfache Überprüfungen aller E-Mails durchzuführen. Hierzu gehört beispielsweise über Verlinkungen mit dem Mauszeiger zu fliegen, um Ziel-URLs zu überprüfen und die E-Mail-Adresse des Absenders zu betrachten, um zu sehen, ob diese legitim erscheint. Eine solche Art von Angriffen ist relativ einfach zu vermeiden. Der Trick besteht darin, dass Organisationen die Benutzer proaktiv sensibilisieren und wachsam machen.
Um den Erfolg von Phishing-Angriffen (bei denen Zwei-Faktor-Codes gesammelt werden) zu verhindern, sollte die Verwendung von Hardware-Sicherheitsschlüsseln oder die Zwei-Faktor-Authentifizierung von WebAuthn in Betracht gezogen werden. Erwägen Sie auch die Verwendung eines in den Browser integrierten Passwortmanagers. Es gibt viele kommerzielle und Open-Source-Optionen, einschließlich einer Browser-basierten Passwortverwaltung, die in gängigen Webbrowsern integriert ist. Diese bieten einen gewissen Phishing-Schutz durch automatisches Ausfüllen oder anderweitiger Erkennung einer legitimen Domäne, für die Sie zuvor ein Passwort gespeichert haben. Wenn Ihr Passwort-Manager die besuchte Website nicht erkennt, könnte es sich um eine Phishing-Seite handeln.
Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs. Mitarbeiter können ein Plug-In namens Phish-Alert-Button in ihr Outlook installieren. Dies ist ein Knopf, bei dem die Betroffenen bedrohlich wirkende E-Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Button vereinfacht diesen Prozess erheblich.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4
