В последние дни зафиксирована масштабная волна целевых фишинговых атак, нацеленных на разработчиков и основателей стартапов. Злоумышленники, выдавая себя за известный акселератор Y Combinator, используют платформу GitHub для массовой рассылки поддельных уведомлений о якобы одобренном финансировании, с целью похищения средств жертв.
Атака разворачивается по отработанному сценарию. Злоумышленники заранее зарегистрировали на GitHub множество учетных записей и репозиториев с названиями, намеренно содержащими опечатки и близкими к бренду «Y Combinator» - например, «ycombinato», «ycombbinator», «yccombinator». Используя автоматизированные скрипты, эти аккаунты создавали сотни задач (issues) в минуту, в которых массово упоминали случайных пользователей платформы. Сами уведомления были тщательно стилизованы под официальные сообщения от Y Combinator и содержали заманчивые предложения о прохождении авторизации для получения финансирования.
Жертвы получали подобные сообщения как через интерфейс GitHub, так и по электронной почте. Для придания атаке большей достоверности преступники также задействовали мошеннические приложения GitHub с названиями вроде «ycombinatornotify» и «mail-notifaction-automatic». После первоначального контакта следовали дополнительные сообщения с просьбами «верифицировать криптовалютный кошелек» или внести депозит для перехода к следующим этапам «отбора».
Ключевым элементом мошеннической схемы стали фишинговые домены. Пользователи, переходившие по ссылкам из уведомлений, попадали на сайты-двойники, такие как «y-comblnator.com», которые точно копировали фирменный стиль Y Combinator. На этих страницах их убеждали ввести учетные данные от криптокошельков или перевести средства для «подтверждения права на получение гранта». Аналитики отмечают, что доменные имена были подобраны методом тайпсквоттинга (typosquatting) - с заменой или пропуском букв, что затрудняло их визуальное обнаружение.
Новость о массовой атаке быстро распространилась среди IT-сообщества, в частности на платформах Hacker News и в форумах GitHub. Пользователи начали активно обмениваться предупреждениями и советами по блокировке спама. Многие отмечали отправку жалоб через официальную систему сообщения о злоупотреблениях GitHub, а также направляли уведомления в security-отдел Y Combinator на адрес [email protected]. Для очистки интерфейса GitHub от накопившегося спама уведомлений некоторые разработчики были вынуждены использовать обходные пути через API, поскольку стандартный веб-интерфейс не всегда корректно отображал такие сообщения для массового удаления.
Представители GitHub отреагировали на инцидент, начав удаление мошеннических репозиториев и учетных записей, а также применяя ограничения на частоту запросов (rate-limiting) к злоумышленникам. Однако, по мнению пострадавших, активность атакующих полностью не прекратилась: после блокировки одних аккаунтов появлялись новые, с небольшими изменениями в тактике.
Данная фишинговая кампания наглядно демонстрирует современный тренд в киберпреступности: злоумышленники все чаще атакуют не через прямое взломанное оборудование, а через злоупотребление доверием к авторитетным брендам и доверенным каналам коммуникации, таким как уведомления от популярных IT-платформ. В данном случае выбор цели - сообщество разработчиков и стартапов - не случаен: именно эти пользователи часто ожидают коммуникации о финансировании и более склонны к быстрым действиям в условиях высокой конкуренции.
Эксперты по безопасности настоятельно рекомендуют разработчикам и предпринимателям проявлять повышенную бдительность при получении любых сообщений, связанных с финансовыми предложениями, даже из казалось бы надежных источников. Ключевые меры предосторожности включают обязательную независимую проверку информации через официальные сайты организаций (набирая адрес вручную), внимательный анализ доменных имен в ссылках на предмет опечаток и немедленное сообщение о подозрительной активности как самой платформе GitHub, так и правоохранительным органам.
