資安小貼士:提防網絡釣魚偷取軟件開發資料

  •  
  •  
  •  

由初創至大型企業,都會在軟件開發方面經常使用DevOps方法、持續集成及持續交付 (CI/CD) 等自動化技術,來提升營運及產品/服務質素。最近,其中一個CI/CD平台 –  CircleCI的用戶成為網絡釣魚攻擊的目標。有關攻擊旨在偷取共享代碼庫 (如Github) 的登入資料及訪問權限。

Dropbox最近披露機構其中一個GitHub帳號遭受網絡釣魚攻擊,黑客能夠成功閱覽機構的代碼庫。調查發現,今次入侵是由Dropbox員工收到假冒CircleCI的網絡釣魚電郵開始,誘使他們打開一個意圖竊取Dropbox的GitHub帳號的虛假CircleCI登錄網頁。黑客成功獲得員工的GitHub帳戶的登入資料及由員工的硬件身份驗證密鑰發送的一次性密碼 (OTP) 之後,就能夠複製Dropbox的代碼庫。黑客得到閱覽權限的代碼庫不僅存儲了姓名和電郵地址,還包括關鍵的開發元素,例如應用程式介面(API)的密鑰。

由於利用中間人攻擊 (AiTM) 來繞過OTP認證去獲取進一步的訪問權限已被黑客應用於最近的網絡釣魚攻擊上,因此HKCERT建議公眾及機構對網絡釣魚攻擊要保持警惕,並且採用以下的保安最佳實踐:

  1. 切勿打開來自可疑郵件的未知鏈結;
  2. 開啟電郵內的附件同連結之前,最好先確定寄件者身份及電郵內容。用戶可以用「守網者」的免費搜尋器「防騙視伏器」來辨識詐騙及網絡陷阱,它支援檢查電郵地址、網址及IP地址等;
  3. 定期更改賬號密碼;
  4. 切勿接受任何可疑的MFA推送驗證通知;
  5. 切勿向他人提供個人帳戶的密碼或者多重認證 (MFA) 驗證碼;以及
  6. 當發現帳戶有可疑登入紀錄的時候,要通知資訊科技支援人員。

  •  
  •  
  •  

benny

Benny Yeung ~ 企業IT傳媒人,經常四周穿梭科技巨企及論壇,熱愛探討新商機。性格貪玩,但喜歡閱讀沉悶的企業賺蝕數字,最重視辦事效率。