фишинг
С разницей буквально в несколько дней команда, поддерживающая Python Package Index (каталог программного обеспечения, написанного на Python) и Mozilla (организация, стоящая за разработкой браузера Firefox), выпустили крайне похожие предупреждения о фишинговых атаках. Неизвестные злоумышленники пытаются заманить Python-разработчиков, использующих PyPi и создателей плагинов для Firefox, имеющих аккаунты addons.mozilla.org, на фальшивые сайты площадок, с целью выманить их учетные данные. В связи с чем мы рекомендуем разработчиков ПО с открытым исходным кодом (не только пользователей PyPi и AMO) быть особенно внимательными при переходе по ссылкам из писем.
Эти две атаки не обязательно связаны между собой (все-таки методы у фишеров несколько различаются). Однако вместе они демонстрируют повышенный интерес киберпреступников к репозиториям кода и магазинам приложений. Вероятнее всего, их конечная цель — организация атак на цепочку поставок, или перепродажа учетных данных другим преступникам, которые смогут организовать такую атаку. Ведь получив доступ к аккаунту разработчика, злоумышленники могут внедрить вредоносный код в пакеты или плагины.
Детали фишинговой атаки на разработчиков PyPi
Фишинговые письма, адресованные пользователям Python Package Index, рассылаются по адресам, указанным в метаданных пакетов, опубликованных на сайте. В заголовке находится фраза [PyPI] Email verification. Письма отправлены с адресов на домене @pypj.org, который всего на одну букву отличается от реального домена каталога — @pypi.org, то есть используют строчную j вместо строчной i.
В письме говорится, что разработчикам необходимо подтвердить адрес электронной почты, для чего следует перейти по ссылке на сайт, имитирующий дизайн легитимного PyPi. Интересно, что фишинговый сайт не только собирает учетные данные жертв, но и передает их на реальный сайт каталога, так что после завершения «верификации» жертва оказывается на легитимном сайте и зачастую даже не понимает, что у нее только что похитили учетные данные.
Команда, поддерживающая Python Package Index, рекомендует всем кликнувшим на ссылку из письма немедленно сменить пароль, а также проверить раздел Security History в своем личном кабинете.
Детали фишинговой атаки на аккаунты addons.mozilla.org
Фишинг, приходящий разработчикам аддонов для Firefox имитирует письма от Mozilla или непосредственно от AMO. Суть послания сводится к необходимости обновления данных аккаунта, для того чтобы продолжить пользоваться функциями, доступными разработчикам.
Судя по примеру, загруженному одним из получателей письма, злоумышленники не утруждают себя маскировкой адреса отправителя — письмо отправлено с бесплатного адреса Gmail. Из комментариев также следует, что иногда фишеры неправильно пишут название Mozilla, пропуская одну из букв «L».
Как оставаться в безопасности?
Разработчикам следует крайне внимательно относиться к письмам, содержащим ссылки на такие площадки. Проверять домены, с которых присланы письма, а также ссылки, по которым предлагают перейти. Даже если письмо кажется легитимным, следует входить в свою учетную запись на сайте, адрес которого введен вручную или из сохраненной закладки. Кроме того, мы рекомендуем оснащать все используемые для работы устройства защитными решениями, которые заблокируют переход по фишинговой ссылке даже если на нее кликнут.
Компаниям, в которых работают разработчики ПО с открытым исходным кодом, мы советуем использовать антифишинговое решение на уровне почтового шлюза. Кроме того, не лишним будет периодически обучать сотрудников распознавать современные уловки фишеров. Ведь на уловку злоумышленников могут попасться даже опытные IT-специалисты. Сделать это можно при помощи нашей онлайновой платформы Kaspersky Automated Security Awareness Platform.
Советы