网络钓鱼黑客利用Captcha来绕过安全机制

专门提供网络钓鱼防护服务的Cofense在本周披露了黑客的新招数:先利用Captcha图灵测试来阻挡安全电子邮件网关机制(Secure Email Gateway,SEG),再将已被证实为人类的受害者,跳转至真正的网络钓鱼页面上。

Cofense所发现的案例之一,是在一个电子邮件中附带一个语音文件,当用户按下播放键时,会先被跳转至一个只呈现图灵测试以验证是否为人类的页面,由于该页面只具备了Captcha程序,SEG扫描后发现它未含任何恶意组件,即会将它归类为安全。

不过,SEG在这里就被挡住了,只有人类才能通过Captcha图灵测试,之后受害者就会被跳转至一个要求输入微软凭证的网络钓鱼页面。

研究人员表示,不管是Captcha页面或是网络钓鱼页面都是由微软架构托管,且两个网页也都使用合法的微软顶级域名名称,因此在与域名黑名单进行比对时,得到的都是“安全”的回复。

根据Cofense的统计,在所有的网络钓鱼活动中,有75%都是为了窃取受害者的凭证,而在这些捕获凭证的攻击中,又有超过91%是想方设法地绕过SEG。总之,用户在打开来路不明的邮件,或是通过连接访问各式网站,并被要求输入凭证时都应特别小心。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190914A0DDVN00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券