Эксперты компании Proofpoint  обратили внимание, что мошенники злоупотребляют функциональностью сервиса GitHub Pages и размещают на github.io фишинговые страницы.

Исследователи отмечают, что злоумышленники часто пользуются облачными сервисами, социальными сетями и другими ресурсами для маскировки своей вредоносной активности и обмана защитных механизмов. От подобных злоупотреблений не раз страдали Dropbox, Google Drive, Paypal, Ebay, Facebook и многие другие.

Теперь очередь дошла и до GitHub: как минимум с 2017 года мошенники размещают на $github_username.github.io вредоносные страницы, предназначенные для кражи учетных данных пользователей. Такие лендинги, как правило, используют минимальную обфускацию для HTML-кода и имитируют легитимные сайты банков и финансовых организаций. Ссылки на такие страницы атакующие распространяют в спамерских письмах. Эти послания тоже замаскированы под сообщения от банков и эксплуатируют их официальные цвета и логотипы.

Если пользователь попадается на удочку мошенников и вводит на поддельной странице github.io свои учетные данные, те при помощи запроса HTTP POST переправляются на другой сайт, подконтрольный атакующим.

Дело в том, что github.io не имеет на бэкэнде PHP-сервисов, поэтому злоумышленникам приходится либо отказываться от PHP-скриптов вовсе, либо использовать скрипты, размещенные на удаленных доменах. Очевидно, именно из-за этих «неудобств» некоторые мошенники используют GitHub Pages исключительно для перенаправления трафика, и такие вредоносные страницы «живут» немного дольше других.

В Proofpoint сообщают, что 19 апреля специалисты GitHub уже избавились от вредоносных страниц на github.io, но исследователи все равно просят помнить о том, что ссылки на GitHub Pages могут быть небезопасны.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии