СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Группа Астра
14 апреля
#Новости #ИБ

Хакеры используют GitHub для кражи данных

Хакеры используют GitHub для кражи данных

Изображение: Richy Great (unsplash)

Эксперты организации по исследованию угроз кибербезопасности Cisco Talos обнаружили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira, чтобы доставлять фишинговые письма. Эксперт «Группы Астра» Тимур Миронов рассказал, как защититься от таких атак.

Подобные сообщения выглядят как штатные оповещения от известных платформ, поэтому вызывают меньше подозрений и чаще доходят до адресатов. По данным Talos, преступники встраивают приманки прямо в содержимое уведомлений, которые сервисы рассылают автоматически. В случае с GitHub схема строится вокруг коммитов. Атакующие создают репозитории и добавляют в описание изменений текст с ложными счетами, «службой поддержки» или другими уловками для кражи данных. После отправки коммита GitHub сам рассылает уведомление со своей инфраструктуры. Такое письмо проходит стандартные проверки подлинности, включая SPF, DKIM и DMARC, а значит, почтовые фильтры реже считают сообщение опасным.

«Фишинг или спам с проверенными доменами, которые находятся в белых списках организации — это очень серьёзная проблема, так как валидация отправителя уже пройдена, и письмо по умолчанию считается доверенным, а вот фильтры на содержимое зачастую либо ослаблены, либо практически не настроены. Совершенно очевидно, что в инфраструктуре компаний необходимо вводить новые правила мониторинга — уже не по домену, а по контексту, содержимому и ключевым словам, даже если письмо пришло с легального адреса noreply@github.com.

Также важно серьёзнее подходить к безопасной разработке — внедрять принципы РБПО. Сама разработка должна вестись в безопасном контуре, где все действия контролируются, регистрируются и аудируются, с отказом от публичных платформ и публичных проектных сред. Такие среды по определению не способны гарантировать защиту — ни от внутренних злоупотреблений, ни от применения серых схем снаружи. Именно для этого нужны self-hosted решения, и у GitFlic как раз есть такая возможность — развернуть полностью контролируемую инфраструктуру у себя с аудитом, защитой веток и GPG-подписями», говорит Тимур Миронов, операционный директор GitFlic (входит в «Группу Астра»).

Группа Астра
Автор: Группа Астра
ГК «Астра» (ООО «РусБИТех-Астра») — один из лидеров российской IT-индустрии, ведущий производитель программного обеспечения, в том числе защищенных операционных систем и платформ виртуализации. Разработка флагманского продукта, ОС семейства Astra Linux, ведется с 2008 года. На сегодня в штате компании более 1000 высококвалифицированных разработчиков и специалистов технической поддержки.
Комментарии: