頻繁的驗證會讓人感到厭煩,為了快速進入觀看頁面,很多人會不假思索地按下「我不是機器人」。但是誰在驗證你不是機器人? 有時候不見得是安全機制,而是更進化的網路釣魚騙術。近日又出現釣魚網站偽裝「我不是機器人」驗證機制,本文幫大家整理了一些案例,一起來增加對抗網路釣魚的免疫力吧!
最近(2024年9月)近日,許多 GitHub 使用者收到「專案程式碼存在嚴重安全漏洞」的釣魚郵件。郵件內容會引導使用者點擊一個惡意連結,進入頁面後會彈出一個類似 Google CAPTCHA 的驗證視窗,要求使用者打開 Windows PowerShell 執行命令來完成所謂的人機驗證,一旦執行,惡意程式就會悄悄潛入使用者系統,對其造成潛在威脅。
☞ 詳請請看T客邦報導:釣魚網站騙人新招:偽裝「我不是機器人」驗證機制、誘導用戶打開Windows執行惡意命令
2021年8月媒體報導指出有用戶點入一個網路流傳的連結網站準備觀看影片時,會跳出一個類似Google reCAPTCHA的圖形驗證,提示求用戶依序點入鍵盤中的指定鍵才能觀看。這其實是誘使用戶繞過瀏覽器的防護,同意下載安裝程式。當用戶依照提示按到Tab鍵時,就會使Chrome的「繼續」鍵呈現準備。而當用戶按下reCAPTCHA中的 Enter 鍵時,就會開啟以下載並執行 Gozi/Ursnif 銀行木馬,該惡意程式會竊取銀行帳密、下載更多惡意程式,並且遠端執行攻擊者的指令,已經超過百家義大利銀行客戶受害。
☞ 詳請請看 IT home 報導:Gozi/Ursnif銀行木馬利用假CAPTCHA繞過瀏覽器防護植入電腦 。
下文介紹兩個跟CAPTCHA 驗證機制有關的網路釣魚案例。
➤ 惡意利用案例1:【假的CAPTCHA驗證機制,試圖混淆使用者同意接收網站通知】
➤ 惡意利用案例2:【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】
【什麼是 CAPTCHA?】
許多網站和系統,為了防止有人利用程式大量張貼垃圾訊息,或是以暴力法進入訂票系統或網路銀行進行大量交易,而利用驗證碼(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart 俗稱驗證碼)機制來區分真人與機器人。要求使用者必須輸入圖片上所顯示的文數字或是完成簡單的數學題才可進行下一步。
reCAPTCHA 是 Google 提供的免費服務,有別於常見 CAPTCHA 需要辨識模糊或扭曲文字,reCAPTCHA 可經由圖像識別、勾選方塊,和無需與使用者互動的使用者行為評估等方式辨識。
➤ 惡意利用案例1:【假的CAPTCHA驗證機制,試圖混淆使用者同意接收詐騙網站通知】
有一種稱為網站通知的功能,可以讓網站於任何時間點透過瀏覽器傳送訊息。有些網站就會利用此功能傳送最新資訊、重要通知等訊息。但若同意了惡意網站的通知,將有可能收到意圖將使用者引導至詐騙網站等惡意網站的假警告。
趨勢科技發現部分網站會以「點選同意以證明您不是機器人」的圖片偽裝成CAPTCHA驗證機制,意圖混淆使用者的判斷。
若同意了上述通知,犯罪者就會利用這項瀏覽器功能傳送假警告或假訊息,包含: 偽裝成防毒軟體的中毒警告假通知、偽裝成警告或假中獎通知,甚至兒童不宜的廣告等等!
※ 提醒大家:上網時跳出對話框,未確認內容前,千萬不可隨意按下「同意」、「OK」、「Allow」等選項。
以東京奧運為餌的釣魚網站,藉身分驗證,引導允許發送惡意網站通知
2020年7月19日,就在東京奧運會開幕前夕,趨勢科技發現一個偽裝成東京奧運會電視轉播時間表的網頁,其中有連結會導向一個可疑的體育轉播網站,該網站會誤導用戶相信他們正在進行「我不是機器人」的身份驗證,而後不自覺地按下“允許”瀏覽器發送網站通知按鈕,之後用戶收就會收到瀏覽器通知的惡意廣告。
◎ 需要注意的是:
- 這是一個典型的假冒警告訊息。 它的目的是欺騙使用者點擊按鈕,並誘使您購買不必要的軟體或服務。
- 真正的 Windows 或 Google Chrome 並不會顯示這種訊息。
- 請勿點擊任何按鈕,並立即關閉這個視窗。
◎ 建議:
- 如果您擔心電腦的安全性,請安裝並更新正版的防毒軟體。
- 定期掃描您的電腦,並小心開啟不明的電子郵件或檔案。
- 如果您的電腦出現異常,請尋求專業人士的協助。
◼延伸閱讀:「警告!你的iPhone已偵測到病毒」「填問卷,送iPhone」如何處理電腦或手機上出現的警告或詐騙訊息?
➤ PC-cillin 雲端版在接觸到可疑網址前搶先攔阻 【零接觸 零感染】▶即刻免費下載試用
➤ 惡意利用案例2:【驗證你不是機器人,才能聽語音?網路釣魚用來認證你是真人,竊個資】
2019年發生一起利用CAPTCHA驗證機制的網路釣魚案例,釣魚郵件傳送了語音郵件訊息後,但按下播放語音的時候,就會跳出CAPTCHA 機制,要求用戶驗證自己不是機器人。
駭客利用 CAPTCHA 機制,讓原本電子郵件防護機制無法順利檢查,當確認你確定不是機器人,是真人後,就會被引導到一個釣魚網頁,要求輸入微軟MSN帳號、密碼等來通過身分認證。若你在此時輸入資料,你的資料就會外洩。
PC-cillin 雲端版在接觸到可疑網址前搶先攔阻 【零接觸 零感染】▶即刻免費下載試用
網站通知別來亂!六步驟教你關閉(以 Chrome 網站通知為例)
先針對遇到不小心按到「我不是機器人」詐騙陷阱,而導致的惡意警告通知狂跳的受害者,可用以下方法解除:
- 點選 Chrome 右上角的三個點。
- 選擇“設定”。
- 點擊“隱私和安全”。
- 前往“網站設定”。
- 向下捲動到“權限”,然後按一下“通知”。
- 在「允許發送通知」下找到發送惡意通知的網站,點擊其旁邊的三個點,然後按一下「刪除」。 (如果您不確定它是哪個網站,請刪除您不認識的網站。)
如果你曾經按錯網站通知訂閱鍵或是被各種通知搞得很「阿雜」不想訂閱某些某站通知的話,趕快一起來看看擺脫這些煩人的網站通知要怎麼做吧!
不管是被這些網站通知搞到很煩,或是想要管理一些之前訂閱過(或是不小心被騙按下訂閱)但不會再瀏覽的網站的話,都可以靠以下的方式進行更改,移除或封鎖喔!
了解通知的運作方式
根據預設,Chrome 會在網站、應用程式或擴充功能要求傳送通知時提示你。不過,你隨時可以變更這項設定。
當你瀏覽包含干擾性或誤導性通知的網站時,Chrome 會自動封鎖通知,並建議你繼續封鎖這些通知。
以無痕模式瀏覽網頁時,你不會收到任何通知。
變更預設通知設定
在電腦上開啟 Chrome 
。依序按一下右上方的「更多」圖示 
[設定]。在「隱私權和安全性」底下,按一下 [網站設定]。按一下 [通知]。選擇要設為預設設定的選項。
在電腦上開啟 Chrome 。依序按一下右上方的「更多」圖示 [設定]。在「隱私權和安全性」底下,按一下 [網站設定]。按一下 [通知]。選擇要設為預設設定的選項。
- 封鎖網站:
- 按一下「不允許傳送通知」旁邊的 [新增]。輸入該網站的網址。按一下 [新增]。
- 按一下「允許傳送通知」旁邊的 [新增]。輸入該網站的網址。按一下 [新增]。
- 允許網站要求傳送通知。按一下 [使用低擾式通知 (禁止網站顯示通知,以免干擾)]。如果你已多次忽略特定網站的通知,或是其他使用者通常禁止某個網站傳送通知,你就不會再收到這些網站的通知。
(以上來源:https://support.google.com/chrome/answer/3220216)
在這裡,Google 幫我們表列了所有我們曾經訂閱過的所有網站,在這邊我們就可以管理每一個網站通知。如果再也不想看到任何一則網站通知的話,我們就可以把它全部關掉,甚至也可以將其封鎖。
而 Google 也很貼心的設計了旁邊「新增」的功能,讓我們直接把網址打進去,就可以封鎖或是新增這個新網站,也就不需要再點去那個網站一次,非常方便。
最多人答錯的資安問題系列,持續更新中
✳︎本文參考來源:https://www.trendmicro.com/de_de/research/21/h/tokyo-olympics-leveraged-in-cybercrime-attack.html