前几天,
邮箱里突然收到好几封“来自github”的邮件,里面说什么基金会鼓励github上的项目,可以给项目维护者发币。
点进去以后发现是一个空壳网站,整个网站除了让你连接钱包,其它所有链接都是假的,很明显的钓鱼网站。
但是,这些邮件居然躲过了gmail的垃圾邮件过滤!?
然后我看了一下,这些邮件确实来自github,是github的通知邮件。
于是我大致明白了套路:
黑客先在github上创建空壳项目,项目名字疯狂擦边github,然后在issue或者其它地方编写钓鱼文章,
然后疯狂批量 @ 或者 提起 其它github用户。
由于github的通知机制,github的邮件通知会自动将这些内容发送到被@或者提到的用户邮箱里。
连Gmail这种反垃圾邮件很成熟的系统都会“上当”,一看邮件确实来自github,认为可信,就没有标记为垃圾邮件。

这招估计套路到了不少人,它“巧妙的”地方在于利用github的邮件通知来帮助它发送钓鱼邮件,以躲过邮箱的垃圾信息过滤审查。
github虽然很快发现了这些诈骗信息并删除了,但是邮件已经送达用户邮箱了。

我现在想来还是有点后怕,还好钱包里没钱,不然就有可能上当了。

我以为消停了,今天测试IPv6环境的谷歌邮箱,登陆以后发现又收到了几封这样的邮件,github不采取措施吗?