GitHub και Jira: phishing μέσω αξιόπιστων ειδοποιήσεων

Τα τελευταία περιστατικά που εντόπισε η Cisco Talos αναδεικνύουν μια ανησυχητική τεχνική: επιτήδειοι χρησιμοποιούν τα εγγενή συστήματα ειδοποιήσεων του GitHub και του Jira για να στέλνουν μηνύματα phishing που φαίνονται απολύτως νόμιμα. Αντί να μάχονται τα φίλτρα και τις λίστες αποκλεισμών με ψεύτικους αποστολείς, οι επιτιθέμενοι στέλνουν τις απάτες τους μέσα από την ίδια την υποδομή μηνυμάτων των πλατφορμών — το αποτέλεσμα είναι ότι τα mails περνούν έλεγχο αυθεντικότητας όπως SPF, DKIM και DMARC και προσλαμβάνονται ως «έμπιστα» από πολλές πύλες email.

Πώς λειτουργεί στην πράξη

Η βασική ιδέα είναι απλή αλλά έξυπνα εκμεταλλεύσιμη: οι πλατφόρμες SaaS παράγουν αυτόματα ειδοποιήσεις — commit alerts, προσκλήσεις πελατών, ειδοποιήσεις service desk — και τις στέλνουν από τα επίσημα SMTP hosts τους με σωστή υπογραφή DKIM και διορθωμένους SPF records. Οι επιτιθέμενοι εισαγάγουν το κακόβουλο περιεχόμενο μέσα σε πεδία που είναι αποδεκτά από το σύστημα, όπως η γραμμή σύνοψης και η εκτεταμένη περιγραφή ενός commit στο GitHub ή το όνομα και το μήνυμα υποδοχής ενός έργου στο Jira. Όταν η πλατφόρμα στέλνει την ειδοποίηση, το μήνυμα μοιάζει να προέρχεται από τον ίδιο τον πάροχο — και έτσι αποφεύγει πολλούς αυτοματισμούς ελέγχου.

Πρακτικό παράδειγμα: ένας επιτιθέμενος δημιουργεί αποθετήριο στο GitHub, στέλνει commit που στην περίληψη αναφέρει «invoice» ή «billing issue» και στην εκτεταμένη περιγραφή προσθέτει σύνδεσμο phishing ή ψεύτικη απόδειξη. Το αυτοματοποιημένο email προς συνεργάτες αποστέλλεται από hosts όπως out-28.smtp.github.com και φέρει d=github.com DKIM υπογραφή — το μήνυμα λοιπόν περνάει ως «επαληθευμένο».

Platform‑as‑a‑Proxy: νέα τεχνική και γιατί είναι επικίνδυνη

Αυτό το μοτίβο έχει αρχίσει να περιγράφεται ως «Platform‑as‑a‑Proxy» (PaaP). Η ουσία του PaaP είναι ότι η πλατφόρμα λειτουργεί ως μεταγωγική υποδομή για επιβλαβή περιεχόμενα, προσδίδοντας την εγγενή αξιοπιστία της στο κακόβουλο μήνυμα. Αυτή η διαμόρφωση αποσυνδέει την πρόθεση του επιτιθέμενου από την υποκείμενη υποδομή και δημιουργεί ένα «σφραγισμένο» phishing που οι παραδοσιακές πύλες ασφαλείας δυσκολεύονται να μπλοκάρουν.

Το πρόβλημα γίνεται ακόμη πιο σοβαρό γιατί τα μηνύματα αυτά συχνά μοιάζουν με τεχνικές ειδοποιήσεις που λαμβάνουν οι προγραμματιστές και οι ομάδες IT καθημερινά — commit alerts, πρόσκληση σε service desk, ειδοποίηση αλλαγής δικαιωμάτων. Οι χρήστες έχουν μάθει να εμπιστεύονται τέτοιες επικοινωνίες, οπότε το κλικ στο κακόβουλο link έρχεται σχεδόν φυσιολογικά.

Στατιστικά και ένδειξη κλίμακας

Στο πρόσφατο κύμα κακόβουλων ενεργειών, η Cisco Talos εντόπισε ότι σε μια ημερομηνία (17 Φεβρουαρίου 2026) περίπου 2,89% όλων των email που παρατηρήθηκαν να προέρχονται από GitHub ήταν πιθανώς μέρος αυτής της κατάχρησης. Σε ένα άλλο πενθήμερο παράθυρο, το 1,20% των μηνυμάτων από τη διεύθυνση “[email protected]” περιείχαν την λέξη «invoice» στο θέμα — ένδειξη στοχευμένης καμπάνιας με δόλωμα τιμολόγησης. Αυτοί οι αριθμοί δείχνουν ότι δεν πρόκειται για μεμονωμένες δοκιμές αλλά για συστηματικές καμπάνιες με πραγματικό όγκο.

Τεχνικά σημεία: γιατί τα φίλτρα αποτυγχάνουν

Οι βασικές τεχνολογίες που χρησιμοποιούνται για την προστασία του email — SPF, DKIM, DMARC — ελέγχουν την αυθεντικότητα του αποστολέα και την ακεραιότητα της υπογραφής. Όταν όμως το μήνυμα προέρχεται από τον ίδιο τον πάροχο, τα checks πετυχαίνουν: SPF δείχνει ότι το email εξήλθε από εξουσιοδοτημένο host, DKIM υπογράφει το περιεχόμενο με το domain του provider και DMARC ευθυγραμμίζει τα headers. Το αποτέλεσμα είναι ότι τα κλασικά εργαλεία που μπλοκάρουν email με ψεύτικους αποστολείς δεν συλλαμβάνουν αυτά τα «επίσημα» phishing.

Πέρα από αυτό, ορισμένες πύλες email βασίζονται και στην «φήμη» του domain — και τα επίσημα domains του GitHub και της Atlassian έχουν εξαιρετική φήμη. Αυτό κάνει την ανίχνευση ακόμα πιο δύσκολη: το μήνυμα αποκτά μια προφανή εγγύηση που οι αυτοματοποιημένοι έλεγχοι εκλαμβάνουν ως θετικό σήμα.

Τρόποι επίθεσης στο GitHub και στο Jira

Στο GitHub, οι επιτιθέμενοι χρησιμοποιούν τα πεδία του commit: μια σύντομη γραμμή σύνοψης που εμφανίζεται πρώτα στο email (hook) και μια εκτενέστερη περιγραφή όπου κρύβεται το κεντρικό δόλωμα ή οι σύνδεσμοι. Στο Jira, το επίκεντρο είναι οι ροές Service Management: πεδία όπως «Project Name», «Welcome Message» ή «Project Description» μπορούν να γεμίσουν με περιεχόμενο που στη συνέχεια ενσωματώνεται σε υπογεγραμμένα πρότυπα email της Atlassian και εμφανίζεται με εταιρική σφραγίδα στο footer.

Η διαφορά στην τακτική είναι ουσιαστική: ενώ στο GitHub το δόλωμα μπορεί να μοιάζει σαν τεχνικό «commit» ή «ci/cd alert», στο Jira οι επιθέσεις μοιάζουν με ειδοποιήσεις helpdesk ή τιμολογήσεις — μηνύματα δηλαδή που έχουν υψηλό επιχειρησιακό χαρακτήρα και συνήθως αγνοούνται από τα τυπικά φίλτρα ως «εσωτερικά» ή «κρίσιμα».

Προτάσεις άμυνας για οργανισμούς

Η αλλαγή φιλοσοφίας που προτείνεται από ειδικούς είναι σαφής: αντί για μια απλοϊκή αποδοχή όλων των email που προέρχονται από αξιόπιστα domains, χρειάζεται λεπτομερής, context-aware έλεγχος. Συγκεκριμένα, οι οργανισμοί μπορούν να προχωρήσουν στα εξής βήματα:

• Καθορισμός επιτρεπόμενων SaaS instances και sender identities σε επίπεδο policy, όχι απλά domain allowlist.
• Εισαγωγή των API logs του GitHub και της Atlassian σε SIEM/SOAR συστήματα ώστε να εντοπίζεται ασυνήθιστη δραστηριότητα — π.χ. μαζικά commits, δημιουργία πολλαπλών projects με περίεργα ονόματα, επαναλαμβανόμενες τροποποιήσεις πεδίων πρόσκλησης.
• Profiling της «κανονικής» επιχειρησιακής χρήσης και σηματοδότηση semantically abnormal ειδοποιήσεων, όπως billing requests από συστήματα κώδικα.
• Προσθήκη friction για υψηλού ρίσκου ειδοποιήσεις (επιπλέον έλεγχος ταυτότητας, προσωρινή κράτηση πριν αποστολή σε ευαίσθητα group mailboxes).
• Αυτοματοποιημένες διαδικασίες για γρήγορο takedown κακόβουλων repositories ή Jira projects σε συνεργασία με τους παρόχους.
• Εκπαίδευση χρηστών με συγκεκριμένα παραδείγματα PaaP phishing και συχνές ασκήσεις phishing simulation.

Η υιοθέτηση μιας Zero‑Trust προσέγγισης για SaaS ειδοποιήσεις σημαίνει ότι κάθε ειδοποίηση πρέπει να τεκμηριώνεται στο context της εργασίας και όχι να θεωρείται αξιόπιστη απλώς επειδή φέρει την υπογραφή ενός μεγάλου παρόχου.

Κίνδυνοι και πιθανές συνέπειες

Οι επιπτώσεις δεν περιορίζονται στην απώλεια κωδικών. Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση, μπορούν να προχωρήσουν σε account takeover, lateral movement μέσα σε εσωτερικά συστήματα, εξαγωγή ευαίσθητων δεδομένων, ή χρήσης διαπιστευτηρίων για επιθέσεις supply chain. Επιπλέον, επειδή οι ειδοποιήσεις φαίνονται επαγγελματικές, οι οργανισμοί μπορεί να αντιμετωπίσουν δυσκολίες στην αποκατάσταση της εμπιστοσύνης με πελάτες και εταίρους μετά το συμβάν.

Σε ρυθμιστικό επίπεδο, τέτοιες παραβιάσεις μπορεί να ενεργοποιήσουν υποχρεώσεις βάσει του GDPR και των νέων κανόνων όπως το NIS2 στην Ευρώπη, αναγκάζοντας τις εταιρείες να αναφέρουν παραβιάσεις και να λάβουν τεχνικά μέτρα αποκατάστασης.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στην Ελλάδα, οι επιχειρήσεις — και ιδιαίτερα οι μικρομεσαίες που χρησιμοποιούν SaaS υπηρεσίες για συνεργασία — πρέπει να συνειδητοποιήσουν ότι η ασφάλεια email δεν είναι μόνο θέμα τεχνικής ρύθμισης αλλά και πολιτικής διαχείρισης. Οι δημόσιοι φορείς και οι εταιρείες που εμπίπτουν στο πεδίο του NIS2 έχουν ήδη αυξημένες υποχρεώσεις και η έγκαιρη υιοθέτηση βέλτιστων πρακτικών για την ανίχνευση και την απόκριση σε PaaP επιθέσεις γίνεται κρίσιμη.

Επιπλέον, οι πάροχοι SaaS που δραστηριοποιούνται στην Ευρώπη θα δεχτούν μεγαλύτερη πίεση να προσφέρουν εργαλεία εντοπισμού και αυτοματοποιημένης αναφοράς κακόβουλης χρήσης των υπηρεσιών τους. Η συνεργασία μεταξύ ομάδων ασφαλείας των παρόχων και των τελικών χρηστών θα πρέπει να ενισχυθεί, ώστε να επιταχύνονται οι takedowns και να περιορίζεται ο χρόνος παραμονής του κακόβουλου περιεχομένου online.

Γιατί έχει σημασία

Το ζήτημα δεν είναι απλά τεχνικό — είναι εμπιστοσύνη. Οι μεγάλες πλατφόρμες κέρδισαν την εμπιστοσύνη οργανώσεων και χρηστών επειδή τα notifications τους ήταν αξιόπιστα και χρήσιμα. Όταν αυτή η εμπιστοσύνη γίνεται όχημα για κακόβουλη δράση, οι επιπτώσεις πλήττουν την ίδια την λειτουργία της ψηφιακής συνεργασίας. Το μοντέλο PaaP αυξάνει το κόστος άμυνας και απαιτεί πιο έξυπνες, context-aware πολιτικές, καθώς και στενότερη συνεργασία με τους παρόχους SaaS για άμεσες λύσεις.

Τελικά, η απάντηση πρέπει να είναι διττή: τεχνικά μέτρα και αλλαγή κουλτούρας. Οι οργανισμοί χρειάζεται να διαχειρίζονται ποιος έχει το δικαίωμα να στέλνει τι μέσα από τα εργαλεία τους, ενώ οι πάροχοι πρέπει να προσθέσουν μηχανισμούς ανίχνευσης και περιορισμού κατάχρησης των αυτοματοποιημένων templates. Μόνο έτσι θα μειωθεί η αποτελεσματικότητα των επιθέσεων που παλεύουν την εμπιστοσύνη ως όπλο.