【證明你不是機器人】後,竟被植入銀行木馬竊帳密, CAPTCHA 驗證機制被網路釣魚利用接收惡意網站通知、竊個資!

是誰在驗證你不是機器人? 有時候不見得是安全機制,而是更進化的網路釣魚騙術。

近日媒體報導指出有用戶點入一個網路流傳的連結網站準備觀看影片時,會跳出一個類似Google reCAPTCHA的圖形驗證,提示求用戶依序點入鍵盤中的指定鍵才能觀看。這其實是誘使用戶繞過瀏覽器的防護,同意下載安裝程式。當用戶依照提示按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的 Enter 鍵時,就會開啟以下載並執行 Gozi/Ursnif 銀行木馬,該惡意程式會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,已經超過百家義大利銀行客戶受害。詳請請看 IT home 報導:Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦


下文介紹兩個跟CAPTCHA 驗證機制有關的網路釣魚案例。

🔴 惡意利用案例1:⁣【假的CAPTCHA驗證機制,試圖混淆使用者同意接收網站通知】⁣
🔴 惡意利用案例2:⁣【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】⁣

CAPTCHA 驗證機制被網路釣魚利用!
CAPTCHA 驗證機制被網路釣魚利用!

📝【什麼是 CAPTCHA?】⁣⁣


許多網站和系統,為了防止有人利用程式大量張貼垃圾訊息,或是以暴力法進入訂票系統或網路銀行進行大量交易,而利用驗證碼(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart 俗稱驗證碼)機制來區分真人與機器人。要求使用者必須輸入圖片上所顯示的文數字或是完成簡單的數學題才可進行下一步。⁣

reCAPTCHA 是 Google 提供的免費服務,有別於常見 CAPTCHA 需要辨識模糊或扭曲文字,reCAPTCHA 可經由圖像識別、勾選方塊,和無需與使用者互動的使用者行為評估等方式辨識。


🚩 惡意利用案例1:⁣【假的CAPTCHA驗證機制,試圖混淆使用者同意接收網站通知】⁣

有一種稱為網站通知的功能,可以讓網站於任何時間點透過瀏覽器傳送訊息。有些網站就會利用此功能傳送最新資訊、重要通知等訊息。但若同意了惡意網站的通知,將有可能收到意圖將使用者引導至詐騙網站等惡意網站的假警告。⁣

⁣趨勢科技發現部分網站會以「點選同意以證明您不是機器人」的圖片偽裝成CAPTCHA驗證機制,意圖混淆使用者的判斷。

圖:日本出現偽裝成CAPTCHA驗證機制,試圖讓使用者同意接收網站通知
左:電腦畫面、右:手機畫面

若同意了上述通知,犯罪者就會利用這項瀏覽器功能傳送假警告或假訊息,包含: 偽裝成防毒軟體的中毒警告假通知、偽裝成警告或假中獎通知,甚至兒童不宜的廣告等等!

📍提醒大家:上網時跳出對話框,未確認內容前,千萬不可隨意按下「同意」、「OK」、「Allow」等選項。⁣

圖:惡意網站的網頁通知
左:偽裝成防毒軟體的假通知、右:偽裝成警告或中獎等的假通知

以東京奧運為餌的釣魚網站,藉身分驗證,引導允許發送惡意網站通知

7月19日,就在東京奧運會開幕前夕,趨勢科技發現一個偽裝成東京奧運會電視轉播時間表的網頁,其中有連結會導向一個可疑的體育轉播網站,該網站會誤導用戶相信他們正在進行「我不是機器人」的身份驗證,而後不自覺地按下“允許”瀏覽器發送網站通知按鈕,之後用戶收就會收到瀏覽器通知的惡意廣告。

圖 4:顯示可疑體育廣播網站的示例
圖 :東京奧運轉播時程釣魚網頁
圖 5:單擊可疑體育廣播站點中的鏈接時顯示的另一個站點示例。 誤導用戶相信他們正在通過身份驗證,然後單擊瀏覽器通知中的“允許”按鈕
圖:點擊網頁連結時會誤導用戶相信他們正在通過身份驗證,然後按下瀏覽器網站通知中的“允許”按鈕
圖 6:允許通知時顯示的“瀏覽器通知垃圾郵件”示例。 假定此垃圾郵件的目的是通過將附屬公司引導至購買頁面來鼓勵附屬公司購買安全產品。
圖 :允許通知“瀏覽器通知垃圾郵件”時,會收到的惡意網站通知

◼延伸閱讀:「警告!你的iPhone已偵測到病毒」「填問卷,送iPhone」如何處理電腦或手機上出現的警告或詐騙訊息?

🚩 惡意利用案例2:⁣【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】⁣

2019年發生一起利用CAPTCHA驗證機制的網路釣魚案例,釣魚郵件傳送了語音郵件訊息後,但按下播放語音的時候,就會跳出CAPTCHA 機制,要求用戶驗證自己不是機器人。⁣

駭客利用 CAPTCHA 機制,讓原本電子郵件防護機制無法順利檢查,當確認你確定不是機器人,是真人後,就會被引導到一個釣魚網頁,要求輸入微軟MSN帳號、密碼等來通過身分認證。若你在此時輸入資料,你的資料就會外洩。⁣

PC-cillin 雲端版在接觸到可疑網址前搶先攔阻 【零接觸 零感染】▶即刻免費下載試用

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FBIGYoutubeLINE官網