CircleCI は、認証情報を収集する目的で、GitHub に加えてフィッシングメール詐欺が同社のユーザーをターゲットにしているという通知を顧客に送信しました。
CircleCI セキュリティ アラートには、 悪意のあるメール この内容は、CircleCI と GitHub アカウントに関する新しい利用規約の立ち上げに両社が協力していることを受信者に伝えていました。
偽メールには「このアップデートの結果、CircleCI サービスの使用を継続するには、すべてのユーザーが新しい利用規約とプライバシー ポリシーを確認して同意する必要があります。」と書かれていました。
通知の下には、新しい規約に同意するために CircleCI 経由で GitHub アカウントにログインするようユーザーを誘導する悪意のあるリンクがありました。
CircleCI は、利用規約を確認するために顧客にログインを要求することはないとユーザーに保証し、悪意のあるリンクによって被害者が次のサイトに送られると指摘しました。 サークルシ[.]com、会社が所有していないドメイン。
「あなたの組織が特別に標的にされている、あるいはあなたのアカウントが侵害されていると信じる理由はありませんが、顧客には現在もフィッシング行為が行われていることを認識し、十分な注意を払っていただきたいと考えています」とCircleCIは通知の中で説明している。 活発なフィッシング攻撃 顧客に。