頻繁的驗證會讓人感到厭煩,為了快速進入觀看頁面,很多人會不假思索地按下「我不是機器人」。但是誰在驗證你不是機器人? 有時候不見得是安全機制,而是更進化的網路釣魚騙術。近日又出現釣魚網站偽裝「我不是機器人」驗證機制,本文幫大家整理了一些案例,一起來增加對抗網路釣魚的免疫力吧!
最近(2024年9月)近日,許多 GitHub 使用者收到「專案程式碼存在嚴重安全漏洞」的釣魚郵件。郵件內容會引導使用者點擊一個惡意連結,進入頁面後會彈出一個類似 Google CAPTCHA 的驗證視窗,要求使用者打開 Windows PowerShell 執行命令來完成所謂的人機驗證,一旦執行,惡意程式就會悄悄潛入使用者系統,對其造成潛在威脅。
☞ 詳請請看T客邦報導:釣魚網站騙人新招:偽裝「我不是機器人」驗證機制、誘導用戶打開Windows執行惡意命令
2021年8月媒體報導指出有用戶點入一個網路流傳的連結網站準備觀看影片時,會跳出一個類似Google reCAPTCHA的圖形驗證,提示求用戶依序點入鍵盤中的指定鍵才能觀看。這其實是誘使用戶繞過瀏覽器的防護,同意下載安裝程式。當用戶依照提示按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的 Enter 鍵時,就會開啟以下載並執行 Gozi/Ursnif 銀行木馬,該惡意程式會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,已經超過百家義大利銀行客戶受害。
☞ 詳請請看 IT home 報導:Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦 。
⟫ 看答案
