驗證非機器人系統「Captcha」 竟成駭客釣魚新工具

匯流新聞網記者紀沈廷/綜合報導

大家有在某個網頁,被要求驗證不是機器人,然後要你在網頁中點選相同圖片的經驗嗎?要小心哦,因為這個名為「Captcha」的驗證系統,可能已經被駭客利用,成為釣魚網頁的新工具。

Captcha是用來認證使用者是不是真人的圖靈測試機制,過最比較常見的方式就是在幾張圖片中點選一張正確的圖片。但是,最近有資安公司發現,有駭客利用Captcha的機制,繞過電子郵件的安全防護機制,讓原本電子郵件用來過濾釣魚網頁的機器人檢查機制無法順利檢查,若你真的是人類,就會把你引導至釣魚網頁上。

目前市面上的防毒軟體,或是公司行號使用的防毒軟體,大部分都有提供防止釣魚網頁的機制;原理很簡單,就是檢查你收到Email嵌入的網頁,或是試著要將你過去的網頁連結,是不是跟資料庫中已知的釣魚網址相符。

簡單來說,防毒軟體要能夠發揮阻止釣魚網頁的因素有兩個:首先就是它必須要有一個知道有哪些釣魚網頁的網址資料庫;在來,就是它必須要知道你的Email中是不是含有這個網址,或是要把你導向這個網址。

至於現在發現駭客使用的方式,原理是釣魚郵件傳送了一個表示有語音轉郵件服務的信給受害者,當受害者發現自己接受到語音郵件訊息後,想要按下播放語音的時候,就會跳出Captcha機制,要求用戶驗證自己不是機器人。

當你確認後,就會被引導到一個釣魚網頁,可能會要求輸入微軟MSN帳號、密碼等來通過身分認證,但若你在此時輸入資料,很抱歉,你的資料就真的外洩了。

其實這個方法跟過去一些惡意程度相比,實行上並不算太過複雜,但有個很聰明的地方在於,第一關的語音郵件完全沒有任何惡意程式,只附上一個Captcha程式,所以防護機制並不會認為這是一個帶有危險的郵件;再加上防護機制過不了Captcha程式的驗證,所以也就不知道之後這個郵件會將用戶帶到釣魚網頁。

在這科技不斷進步的時代,Captcha原本的用意是在驗證用戶是否為真人,藉此讓網路服務更加安全的機制,誰也沒想到,在駭客反向思考下,卻成為用來阻擋資安防護機制的手段。

參考來源:Tom’s Hardware、SC Magazine UK

照片來源:mtcaptcha

更多匯流新聞網報導:

在看色情網站?小心被側錄 還可能成為駭客威脅對象

駭客鑽SIM卡漏洞追蹤被害人位置 時間恐長達2年以上

【匯流筆陣】

CNEWS歡迎各界投書,來稿請寄至cnewscom2016@gmail.com,並請附上真實姓名、聯絡方式與職業身份簡介。
微軟:微軟股份有限公司(英語:Microsoft Corporation;NASDAQ:MSFT)是美國一家跨國電腦科技公司。以研發、製造、授權和提供廣泛的電腦軟體服務業務為主。 ...更多

社群回應
PChome會員回應