O GitHub está alertando para uma campanha de phishing que visa roubar credenciais e códigos de autenticação em duas etapas a partir de alertas falsos do serviço CircleCI. A plataforma de integração vem sendo usada como isca para que os usuários cliquem em links fraudulentos e entreguem suas informações.
A disseminação em massa de mensagens acontece desde meados deste mês de setembro, com os contatos falando em uma suposta mudança nas políticas de uso do CircleCI. Tal alteração nunca existiu, enquanto os usuários que clicam no link são levados por meio de proxy reverso a sites fraudulentos, que simulam os serviços da empresa mas foram criados por criminosos para o roubo das informações.
Após obterem as informações, os bandidos estabelecem permanência nas contas das vítimas a partir da autenticação em aplicativos e obtenção de chaves pessoais de acesso. Depois, a ideia é roubar informações de repositórios públicos e privados, com códigos que podem levar a ataques contra os sistemas internos destas companhias com danos ainda maiores. Os bandidos usam VPN e serviços de proxy para ocultar a própria comunicação e dificultar a descoberta.
–
Siga o Canaltech no Twitter e seja o primeiro a saber tudo o que acontece no mundo da tecnologia.
–
O alerta sobre a campanha cibercriminosa foi compartilhado pela própria CircleCI, que informou a seus usuários que a empresa jamais solicita informações e credenciais. Segundo o GitHub, múltiplas organizações foram vítimas do comprometimento, mas um número exato não foi divulgado.
Segundo o repositório, contas que utilizem tokens de acesso físico não são vulneráveis aos golpes, já que o uso de verificadores dessa categoria é essencial na hora do novo acesso. Além disso, o GitHub disse ter suspendido contas com indícios de fraude e resetado a senha para os usuários impactados pelas comunicações fraudulentas, que também verão notificações sobre o assunto no primeiro acesso.
A principal recomendação dada pela CircleCI é a atenção a e-mails e comunicações enviadas, que devem pertencer apenas a domínios certificados pela empresa. Os usuários não devem clicar em links nem enviar dados pessoais, enquanto a dica para quem foi comprometido é resetar senhas e controlar os acessos em busca de usuários desconhecidos e demais sinais de comprometimento de redes e repositórios.
Trending no Canaltech:
- Brasil x Gana | Onde assistir ao amistoso da Seleção Brasileira ao vivo?
- Palmeiras x Santos | Onde assistir ao clássico pelo Brasileirão?
- Jeffrey Dahmer: a história do serial killer que virou série na Netflix
- O que foi a Guerra das Armaduras e porque ela vai virar série no Disney+?
- Criminosos usam novo método para burlar autenticação em duas etapas
Fonte: Canaltech