主页 > E妙生活 >用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具 >

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

CAPTCHA 是认证使用者是否真人的图灵测试机制,最常见的就是在数张图片选出正确的图片。不过,最近有资安公司发现,有骇客利用 CAPTCHA 机制,绕过电子邮件的安全防护机制,让原本电子邮件过滤钓鱼网页的机器人检查机制无法检查钓鱼网页,如果你是真人,就将你导引到钓鱼网页。

目前一般防毒软体或公司防毒系统,多半都有提供钓鱼网页防护。原理也很简单,就是检查你收到的 Email 嵌入网页,或是试图引诱人点击的网页连结,是否与资料库已知的钓鱼网页网址相符。

换句话说,防毒软体要能发挥阻挡钓鱼网页的前提有两个,第一就是必须有知道有哪些钓鱼网页的网址资料库,第二就是必须知道 Email 是否含有这网址,或将你导向这个网址。

现在发现的骇客方式是这样的:钓鱼邮件传送宣称有语音转邮件服务的邮件给受害者。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

受害者发现接到语音邮件讯息,按下播放键播放语音时,会跳出 CAPTCHA,要求你验证不是机器人。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

确认之后,就会导引到钓鱼网页。以下图为例,就是要求输入微软 MSN 帐号及密码以通过身分认证。如果输入,资料就外洩了。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

这个方法做起来不困难,聪明的地方在于,首先第一关语音邮件没有任何恶意程式,只夹带 CAPTCHA 程式,故防护机制不会认为这是危险的邮件。再加上防护机制过不了 CAPTCHA 程式验证,因此不知道这邮件会导向钓鱼网页。

验证是真人的 CAPTCHA 程式,原本是让网路服务更安全,不会被网路机器人滥用。没想到骇客反向思考后,成为阻挡资安防护机制的工具。

E妙生活 939℃ 49评论
用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

CAPTCHA 是认证使用者是否真人的图灵测试机制,最常见的就是在数张图片选出正确的图片。不过,最近有资安公司发现,有骇客利用 CAPTCHA 机制,绕过电子邮件的安全防护机制,让原本电子邮件过滤钓鱼网页的机器人检查机制无法检查钓鱼网页,如果你是真人,就将你导引到钓鱼网页。

目前一般防毒软体或公司防毒系统,多半都有提供钓鱼网页防护。原理也很简单,就是检查你收到的 Email 嵌入网页,或是试图引诱人点击的网页连结,是否与资料库已知的钓鱼网页网址相符。

换句话说,防毒软体要能发挥阻挡钓鱼网页的前提有两个,第一就是必须有知道有哪些钓鱼网页的网址资料库,第二就是必须知道 Email 是否含有这网址,或将你导向这个网址。

现在发现的骇客方式是这样的:钓鱼邮件传送宣称有语音转邮件服务的邮件给受害者。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

受害者发现接到语音邮件讯息,按下播放键播放语音时,会跳出 CAPTCHA,要求你验证不是机器人。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

确认之后,就会导引到钓鱼网页。以下图为例,就是要求输入微软 MSN 帐号及密码以通过身分认证。如果输入,资料就外洩了。

用来验证真人的 CAPTCHA 遭骇客利用,变成钓鱼网页的新工具

这个方法做起来不困难,聪明的地方在于,首先第一关语音邮件没有任何恶意程式,只夹带 CAPTCHA 程式,故防护机制不会认为这是危险的邮件。再加上防护机制过不了 CAPTCHA 程式验证,因此不知道这邮件会导向钓鱼网页。

验证是真人的 CAPTCHA 程式,原本是让网路服务更安全,不会被网路机器人滥用。没想到骇客反向思考后,成为阻挡资安防护机制的工具。

热门产品