网络钓鱼黑客利用Captcha来绕过安全机制

专门提供网络钓鱼防护服务的Cofense在本周披露了黑客的新招数：先利用Captcha图灵测试来阻挡安全电子邮件网关机制（Secure Email Gateway，SEG），再将已被证实为人类的受害者，跳转至真正的网络钓鱼页面上。

Cofense所发现的案例之一，是在一个电子邮件中附带一个语音文件，当用户按下播放键时，会先被跳转至一个只呈现图灵测试以验证是否为人类的页面，由于该页面只具备了Captcha程序，SEG扫描后发现它未含任何恶意组件，即会将它归类为安全。

不过，SEG在这里就被挡住了，只有人类才能通过Captcha图灵测试，之后受害者就会被跳转至一个要求输入微软凭证的网络钓鱼页面。

研究人员表示，不管是Captcha页面或是网络钓鱼页面都是由微软架构托管，且两个网页也都使用合法的微软顶级域名名称，因此在与域名黑名单进行比对时，得到的都是“安全”的回复。

根据Cofense的统计，在所有的网络钓鱼活动中，有75%都是为了窃取受害者的凭证，而在这些捕获凭证的攻击中，又有超过91%是想方设法地绕过SEG。总之，用户在打开来路不明的邮件，或是通过连接访问各式网站，并被要求输入凭证时都应特别小心。