Сервис GitHub сообщил пользователям о масштабной мошеннической кампании против граждан, которая началась 16.09. Фишеры занимаются рассылкой писем, содержащих ложные уведомления якобы отправленные Circle CI. Данный сервис применяется для деплоя и постоянной разработки.
Таким образом они ставят граждан в известность о том, что в политике конфиденциальности произошли изменения, как и в условиях эксплуатации. В связи с этим люди должны принять все эти изменения у себя в учетке.
Естественно, целью мошенников является кража данных учеток GitHub, а также кодов многофакторной аутентификации, передающиеся при помощи обратных прокси тем, кто атакует. Есть информация, что после того, как нужные сведения будут получены, кибермошенники создают токены персонального доступа, авторизуют OAuth, а в некоторых случаях добавляют SSH-ключи для сохранения доступа к учеткам, даже, если пароль будет сброшен.
В сервисе говорят, что они не пострадали от действий злоумышленников, но немало организаций стали их жертвами.
Внимание пользователей заострили на проблеме и специалисты CircleCI. Там в очередной раз напоминают, что ни при каких бы обстоятельствах сервис не просил бы ввести данные учетки, чтобы что-то подтвердить.
В компании уточнили, что в письмах должны быть ссылки исключительно на circleci.com либо поддомены.
Используемые злоумышленниками домены – это имитация. От оригинала они имеют некоторые отличия. Среди активно используемых несколько:
- emails-circleci[.]com;
- circle-ci[.]com;
- email-circleci[.]com;
- circle-cl[.]com.
В GitHub указали, что практически сразу, как были совершены взломы, из личных репозиториев начала утекать информация. Мошенники применяют прокси и VPN для затруднения отслеживания. При условии, что учетка с высокими привилегиями, киберпреступники создают еще учетки, чтобы доступ сохранился.
Сейчас специалисты уже заблокировали учетки, вызывающие подозрения. Пароли сброшены, пользователей о происшествии поставят в известность.