看板 Provisional
作者 標題 [轉] 驗證真人的Captcha遭利用變成釣魚新工具
時間 2019-09-17 Tue. 18:25:05
短網址https://is.gd/R3BDFS
Captcha是用來認證使用者是否是真人的圖靈測試機制,過去最常見的就是在數張圖片中點選一張正確的圖片。不過,最近有資安公司發現,有駭客利用Captcha這個機制,來繞過電子郵件的安全防護機制,讓原本電子郵件用來過濾釣魚網頁的機器人檢查機制無法檢查這個釣魚網頁,然後如果你是真的人類的話,就會將你導引到釣魚網頁上。
目前一般防毒軟體,或是公司的防毒系統,多半都有提供釣魚網頁防護的機制。而原理也很簡單,就是檢查你收到的Email嵌入的網頁,或是試圖要將你過去的網頁連結,是否與資料庫中已經知道的釣魚網頁網址相符。
換句話說,防毒軟體要能夠發揮阻擋釣魚網頁的前提有兩個,第一就是他必須要有一個知道有哪些釣魚網頁的網址資料庫,第二就是他必須要知道你的Email中是否有含有這個網址,或是要將你導向這個網址。
而現在被發現的駭客方式是這樣的,原理是釣魚郵件傳送了一個宣稱帶有語音轉郵件服務的郵件給受害者。
![[圖]](https://i.imgur.com/qyPzqCC.jpg)
受害者在發現自己接收到語音郵件訊息,想要按下播放鍵播放語音的時候,這時就會跳出一個Captcha機制,要求你驗證自己不是機器人。
![[圖]](https://i.imgur.com/C1qr98y.jpg)
而當你確認之後,就會被導引到一個釣魚網頁。以下圖為例,就是要求你輸入你的微軟MSN帳號以及密碼以通過身份認證。但是如果你在這裡輸入了,你的資料就外洩了。
![[圖]](https://i.imgur.com/g51WFm2.jpg)
這個方法實施起來不困難,但是聰明的地方在於,首先在第一關的語音郵件是沒有任何惡意程式,只帶有一個Captcha程式,因此防護機制不會認為這是一個危險的郵件。再加上防護機制過不了Captcha程式的驗證,因此更不知道後來這個郵件會把你導向釣魚網頁。
用來驗證你是真人的Captcha程式,目的原本是用來讓網路的服務更安全,不會被一些網路機器人濫用。但沒想到在駭客的反向思考下,成為用來阻擋資安防護機制的工具。
--
童姥道:「我這『天山折梅手』是永遠學不全的,將來你內功越高,見識越多,
天下任何招數武功,都能自行化在這『六路折梅手』之中。
好在你已學會了口訣,以後學到什麼程度,全憑你自己了。」
--
※ 作者: phimj 時間: 2019-09-17 18:25:05 (澳大利亞)
※ 看板: Provisional 文章推薦值: 0 目前人氣: 0 累積人氣: 18
回列表(←)
分享