用來驗證真人的 CAPTCHA 遭駭客利用,變成釣魚網頁的新工具

作者 | 發布日期 2019 年 09 月 19 日 7:45 | 分類 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


CAPTCHA 是認證使用者是否真人的圖靈測試機制,最常見的就是在數張圖片選出正確的圖片。不過,最近有資安公司發現,有駭客利用 CAPTCHA 機制,繞過電子郵件的安全防護機制,讓原本電子郵件過濾釣魚網頁的機器人檢查機制無法檢查釣魚網頁,如果你是真人,就將你導引到釣魚網頁。

目前一般防毒軟體或公司防毒系統,多半都有提供釣魚網頁防護。原理也很簡單,就是檢查你收到的 Email 嵌入網頁,或是試圖引誘人點擊的網頁連結,是否與資料庫已知的釣魚網頁網址相符。

換句話說,防毒軟體要能發揮阻擋釣魚網頁的前提有兩個,第一就是必須有知道有哪些釣魚網頁的網址資料庫,第二就是必須知道 Email 是否含有這網址,或將你導向這個網址。

現在發現的駭客方式是這樣的:釣魚郵件傳送宣稱有語音轉郵件服務的郵件給受害者。

受害者發現接到語音郵件訊息,按下播放鍵播放語音時,會跳出 CAPTCHA,要求你驗證不是機器人。

確認之後,就會導引到釣魚網頁。以下圖為例,就是要求輸入微軟 MSN 帳號及密碼以通過身分認證。如果輸入,資料就外洩了。

這個方法做起來不困難,聰明的地方在於,首先第一關語音郵件沒有任何惡意程式,只夾帶 CAPTCHA 程式,故防護機制不會認為這是危險的郵件。再加上防護機制過不了 CAPTCHA 程式驗證,因此不知道這郵件會導向釣魚網頁。

驗證是真人的 CAPTCHA 程式,原本是讓網路服務更安全,不會被網路機器人濫用。沒想到駭客反向思考後,成為阻擋資安防護機制的工具。

(本文由 T客邦 授權轉載)