GitHub hat eine Warnung vor einer Phishing-Kampagne ausgegeben, die sich an Benutzer richtet, indem es sich als das beliebte DevOps-Tool CircleCI ausgibt, berichtet BleepingComputer. Die Phishing-E-Mails informieren die Benutzer, dass sie auf einen Link klicken und sich bei ihrem GitHub-Konto anmelden müssen, um die neuen Nutzungsbedingungen von CircleCI zu überprüfen. Die Phishing-Site wurde entwickelt, um Anmeldeinformationen sowie zeitbasierte TOTP-Authentifizierungscodes (One-Time-Password) zu sammeln.
“Wenn Sie auf den Link klicken, führt der Benutzer zu einer Phishing-Site, die wie die GitHub-Anmeldeseite aussieht, aber alle eingegebenen Anmeldeinformationen stiehlt”, sagt GitHub. “Für Benutzer mit aktivierter TOTP-basierter Zwei-Faktor-Authentifizierung (2FA) leitet die Phishing-Site auch alle TOTP-Codes in Echtzeit an den Bedrohungsakteur und GitHub weiter, so dass der Bedrohungsakteur in Konten einbrechen kann, die durch TOTP-basierte 2FA geschützt sind. Konten, die durch Hardware-Sicherheitsschlüssel geschützt sind, sind nicht anfällig für diesen Angriff”.
Die Warnung beschreibt die folgenden Maßnahmen, die der Angreifer nach der Kompromittierung eines Kontos ergriffen hat:
- “Wenn der Bedrohungsakteur erfolgreich Anmeldeinformationen für GitHub-Benutzerkonten stiehlt, kann er schnell GitHub Personal Access Tokens (PATs) erstellen, OAuth-Anwendungen autorisieren oder SSH-Schlüssel zum Konto hinzufügen, um den Zugriff zu erhalten, falls der Benutzer sein Passwort ändert.
- “In vielen Fällen lädt der Bedrohungsakteur sofort private Repository-Inhalte herunter, auf die der kompromittierte Benutzer zugreifen kann, einschließlich derjenigen, die Organisationskonten und anderen Mitarbeitern gehören.
- “Der Bedrohungsakteur verwendet VPN- oder Proxy-Anbieter, um private Repository-Daten über kompromittierte Benutzerkonten herunterzuladen.
- “Wenn ein kompromittiertes Konto über Organisationsverwaltungsberechtigungen verfügt, kann der Bedrohungsakteur neue GitHub-Benutzerkonten erstellen und sie einer Organisation hinzufügen, um Persistenz herzustellen”.
CircleCI gab die folgende Erklärung zur Kampagne ab:
“CircleCI verlangt von den Benutzern nicht, sich anzumelden, um Aktualisierungen unserer Nutzungsbedingungen zu überprüfen. Darüber hinaus enthalten diese Phishing-Versuche Links, die Benutzer an circle-ci[.]com senden, das nicht im Besitz von CircleCI ist. Alle E-Mails von CircleCI sollten nur Links zu circleci.com 52 oder seinen Subdomains enthalten. Wenn Sie glauben, dass Sie oder jemand in Ihrem Team versehentlich auf einen Link in dieser E-Mail geklickt haben, drehen Sie bitte sofort Ihre Anmeldeinformationen für GitHub und CircleCI und überprüfen Sie Ihre Systeme auf nicht autorisierte Aktivitäten.“
Schulungen zur Sensibilisierung für die Sicherheit können es Ihren Mitarbeitern ermöglichen, Phishing-Versuche zu erkennen.
BleepingComputer hat die Geschichte.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.