CAPTCHA 是认证使用者是否真人的图灵测试机制,最常见的就是在数张图片选出正确的图片。不过,最近有资安公司发现,有骇客利用 CAPTCHA 机制,绕过电子邮件的安全防护机制,让原本电子邮件过滤钓鱼网页的机器人检查机制无法检查钓鱼网页,如果你是真人,就将你导引到钓鱼网页。
目前一般防毒软件或公司防毒系统,多半都有提供钓鱼网页防护。原理也很简单,就是检查你收到的 Email 嵌入网页,或是试图引诱人点击的网页链接,是否与数据库已知的钓鱼网页网址相符。
换句话说,防毒软件要能发挥阻挡钓鱼网页的前提有两个,第一就是必须有知道有哪些钓鱼网页的网址数据库,第二就是必须知道 Email 是否含有这网址,或将你导向这个网址。
现在发现的骇客方式是这样的:钓鱼邮件传送宣称有语音转邮件服务的邮件给受害者。
受害者发现接到语音邮件讯息,按下播放键播放语音时,会跳出 CAPTCHA,要求你验证不是机器人。
确认之后,就会导引到钓鱼网页。以下图为例,就是要求输入微软 MSN 账号及密码以通过身份认证。如果输入,资料就外泄了。
这个方法做起来不困难,聪明的地方在于,首先第一关语音邮件没有任何恶意程式,只夹带 CAPTCHA 程式,故防护机制不会认为这是危险的邮件。再加上防护机制过不了 CAPTCHA 程式验证,因此不知道这邮件会导向钓鱼网页。
验证是真人的 CAPTCHA 程式,原本是让网络服务更安全,不会被网络机器人滥用。没想到骇客反向思考后,成为阻挡资安防护机制的工具。
- New Phishing Campaign Uses Captcha to Bypass Email Gateway
(本文由 T客邦 授权转载)
