Хакеры используют GitHub для кражи данных

Эксперты организации по исследованию угроз кибербезопасности Cisco Talos обнаружили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira, чтобы доставлять фишинговые письма. Эксперт «Группы Астра» Тимур Миронов рассказал, как защититься от таких атак.

Подобные сообщения выглядят как штатные оповещения от известных платформ, поэтому вызывают меньше подозрений и чаще доходят до адресатов. По данным Talos, преступники встраивают приманки прямо в содержимое уведомлений, которые сервисы рассылают автоматически. В случае с GitHub схема строится вокруг коммитов. Атакующие создают репозитории и добавляют в описание изменений текст с ложными счетами, «службой поддержки» или другими уловками для кражи данных. После отправки коммита GitHub сам рассылает уведомление со своей инфраструктуры. Такое письмо проходит стандартные проверки подлинности, включая SPF, DKIM и DMARC, а значит, почтовые фильтры реже считают сообщение опасным, подробнее пишет SecurityLab.ru

«Фишинг или спам с проверенных доменов, которые находятся в белых списках организации — это очень серьёзная проблема, так как валидация отправителя уже пройдена, и письмо по умолчанию считается доверенным, а вот фильтры на содержимое зачастую либо ослаблены, либо практически не настроены. Совершенно очевидно, что в инфраструктуре компаний необходимо вводить новые правила мониторинга — уже не по домену, а по контексту, содержимому и ключевым словам, даже если письмо пришло с легального адреса noreply@github.com.

Также, важно серьёзнее подходить к безопасной разработке — внедрять принципы РБПО. Сама разработка должна вестись в безопасном контуре, где все действия контролируются, регистрируются и аудируются, с отказом от публичных платформ и публичных проектных сред. Такие среды по определению не способны гарантировать защиту — ни от внутренних злоупотреблений, ни от применения серых схем снаружи. Именно для этого нужны self-hosted решения, и у GitFlic как раз есть такая возможность — развернуть полностью контролируемую инфраструктуру у себя, с аудитом, защитой веток и GPG-подписями», — говорит Тимур Миронов, операционный директор GitFlic (входит в «Группу Астра»).