Captcha是用來認證使用者是否是真人的圖靈測試機制,過去最常見的就是在數張圖片中點選一張正確的圖片。不過,最近有資安公司發現,有駭客利用Captcha這個機制,來繞過電子郵件的安全防護機制,讓原本電子郵件用來過濾釣魚網頁的機器人檢查機制無法檢查這個釣魚網頁,然後如果你是真的人類的話,就會將你導引到釣魚網頁上。
目前一般防毒軟體,或是公司的防毒系統,多半都有提供釣魚網頁防護的機制。而原理也很簡單,就是檢查你收到的Email嵌入的網頁,或是試圖要將你過去的網頁連結,是否與資料庫中已經知道的釣魚網頁網址相符。
換句話說,防毒軟體要能夠發揮阻擋釣魚網頁的前提有兩個,第一就是他必須要有一個知道有哪些釣魚網頁的網址資料庫,第二就是他必須要知道你的Email中是否有含有這個網址,或是要將你導向這個網址。
而現在被發現的駭客方式是這樣的,原理是釣魚郵件傳送了一個宣稱帶有語音轉郵件服務的郵件給受害者。
受害者在發現自己接收到語音郵件訊息,想要按下播放鍵播放語音的時候,這時就會跳出一個Captcha機制,要求你驗證自己不是機器人。
而當你確認之後,就會被導引到一個釣魚網頁。以下圖為例,就是要求你輸入你的微軟MSN帳號以及密碼以通過身份認證。但是如果你在這裡輸入了,你的資料就外洩了。
這個方法實施起來不困難,但是聰明的地方在於,首先在第一關的語音郵件是沒有任何惡意程式,只帶有一個Captcha程式,因此防護機制不會認為這是一個危險的郵件。再加上防護機制過不了Captcha程式的驗證,因此更不知道後來這個郵件會把你導向釣魚網頁。
用來驗證你是真人的Captcha程式,目的原本是用來讓網路的服務更安全,不會被一些網路機器人濫用。但沒想到在駭客的反向思考下,成為用來阻擋資安防護機制的工具。
- 新聞來源:cofense
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!