是誰在驗證你不是機器人? 有時候不見得是安全機制,而是更進化的網路釣魚騙術。
近日媒體報導指出有用戶點入一個網路流傳的連結網站準備觀看影片時,會跳出一個類似Google reCAPTCHA的圖形驗證,提示求用戶依序點入鍵盤中的指定鍵才能觀看。這其實是誘使用戶繞過瀏覽器的防護,同意下載安裝程式。當用戶依照提示按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的 Enter 鍵時,就會開啟以下載並執行 Gozi/Ursnif 銀行木馬,該惡意程式會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,已經超過百家義大利銀行客戶受害。詳請請看 IT home 報導:Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦 。
下文介紹兩個跟CAPTCHA 驗證機制有關的網路釣魚案例。
🔴 惡意利用案例1:【假的CAPTCHA驗證機制,試圖混淆使用者同意接收網站通知】
🔴 惡意利用案例2:【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】
📝【什麼是 CAPTCHA?】
許多網站和系統,為了防止有人利用程式大量張貼垃圾訊息,或是以暴力法進入訂票系統或網路銀行進行大量交易,而利用驗證碼(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart 俗稱驗證碼)機制來區分真人與機器人。要求使用者必須輸入圖片上所顯示的文數字或是完成簡單的數學題才可進行下一步。
reCAPTCHA 是 Google 提供的免費服務,有別於常見 CAPTCHA 需要辨識模糊或扭曲文字,reCAPTCHA 可經由圖像識別、勾選方塊,和無需與使用者互動的使用者行為評估等方式辨識。
🚩 惡意利用案例1:【假的CAPTCHA驗證機制,試圖混淆使用者同意接收網站通知】
有一種稱為網站通知的功能,可以讓網站於任何時間點透過瀏覽器傳送訊息。有些網站就會利用此功能傳送最新資訊、重要通知等訊息。但若同意了惡意網站的通知,將有可能收到意圖將使用者引導至詐騙網站等惡意網站的假警告。
趨勢科技發現部分網站會以「點選同意以證明您不是機器人」的圖片偽裝成CAPTCHA驗證機制,意圖混淆使用者的判斷。
若同意了上述通知,犯罪者就會利用這項瀏覽器功能傳送假警告或假訊息,包含: 偽裝成防毒軟體的中毒警告假通知、偽裝成警告或假中獎通知,甚至兒童不宜的廣告等等!
📍提醒大家:上網時跳出對話框,未確認內容前,千萬不可隨意按下「同意」、「OK」、「Allow」等選項。
以東京奧運為餌的釣魚網站,藉身分驗證,引導允許發送惡意網站通知
7月19日,就在東京奧運會開幕前夕,趨勢科技發現一個偽裝成東京奧運會電視轉播時間表的網頁,其中有連結會導向一個可疑的體育轉播網站,該網站會誤導用戶相信他們正在進行「我不是機器人」的身份驗證,而後不自覺地按下“允許”瀏覽器發送網站通知按鈕,之後用戶收就會收到瀏覽器通知的惡意廣告。
◼延伸閱讀:「警告!你的iPhone已偵測到病毒」「填問卷,送iPhone」如何處理電腦或手機上出現的警告或詐騙訊息?
🚩 惡意利用案例2:【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】
2019年發生一起利用CAPTCHA驗證機制的網路釣魚案例,釣魚郵件傳送了語音郵件訊息後,但按下播放語音的時候,就會跳出CAPTCHA 機制,要求用戶驗證自己不是機器人。
駭客利用 CAPTCHA 機制,讓原本電子郵件防護機制無法順利檢查,當確認你確定不是機器人,是真人後,就會被引導到一個釣魚網頁,要求輸入微軟MSN帳號、密碼等來通過身分認證。若你在此時輸入資料,你的資料就會外洩。
PC-cillin 雲端版在接觸到可疑網址前搶先攔阻 【零接觸 零感染】▶即刻免費下載試用
本文參考來源:https://www.trendmicro.com/de_de/research/21/h/tokyo-olympics-leveraged-in-cybercrime-attack.html