網路釣魚如何利用 CAPTCHA 人機驗證來躲避偵測？

本文探討利用 CAPTCHA 人機驗證來躲避偵測的網路釣魚攻擊，並提出一套資安框架來解決這類威脅。

CAPTCHA 的全名是「Completely Automated Public Turing test to tell Computers and Humans Apart」(區分電腦與人類的全自動化公開圖靈測驗)，該測驗在資安領域扮演了提升安全、防止未經授權存取的關鍵角色。它基本上是一種「質詢/應答」(challenge-response) 機制，可用於區分自動化機器人與人類使用者。

近年來，CAPTCHA 技術突飛猛進，以至於許多服務供應商都提供免費的 CAPTCHA 工具來讓客戶保護網站，以免網站遭到網路攻擊。然而，駭客也開始在網路釣魚網站上利用 CAPTCHA 來躲避資安產品的偵測。由於 CAPTCHA 的設計原本就是為了阻擋自動化機器人進入網站，所以這類服務也會讓資安產品更難自動偵測網路釣魚。

也因此，傳統的偵測方法已經無法滿足當前的需要。本文討論趨勢科技如何解決這項挑戰：透過一套內建行為式 AI 防護技術的平台來偵測網路釣魚網站，有效應付進階躲避技巧。

延伸閱讀：【證明你不是機器人】後,竟被植入銀行木馬竊帳密, CAPTCHA 驗證機制被網路釣魚利用接收惡意網站通知、竊個資!

網路釣魚如何利用 CAPTCHA 來躲避偵測？

過去，資安產品的網站爬梳程式會讀取網路釣魚網站的內容，然後根據其內容的某些特徵和 Metadata 來判斷它是否為網路釣魚。但隨著這類網站紛紛加入了 CAPTCHA 人機驗證，這種傳統方法已經無法有效偵測許多重要線索和資訊，導致現有的資安解決方案失去作用。

以下，我們將透過幾個案例來說明網路釣魚網站如何利用 CAPTCHA 來躲避偵測。

據趨勢科技觀察，這類網路釣魚連結通常經由電子郵件散布，它們會使用一些吸引人的內容，並經常模仿知名網站和服務的通知。我們也看過假裝加入某電子郵件討論串的網路釣魚郵件，其目的是要讓郵件看起來更加真實。駭客會將網路釣魚連結放在郵件的不同位置，例如：附在郵件內文或圖片當中，或是放在 HTML、PDF、ZIP 等格式的附件檔內。

我們發現，駭客不僅會使用不同的附件檔來躲避偵測，還會使用特殊的副檔名以及內容加密編碼技巧。HTML 附件檔可提供較更大的彈性，因此駭客經常使用這類檔案來將內容加密編碼，或使用 JavaScript (JS) 程式碼來躲避偵測。雖然這些技巧對使用者的體驗影響不大，但對傳統偵測機制卻是一大挑戰。

目前市面上有許多種類型的 CAPTCHA 驗證，傳統的 CAPTCHA 大多透過辨識文字或影像的方式來驗證。但新型的 CAPTCHA 大多使用多個資料點來綜合評估需不需要進一步透過手動方式驗證。這些較新的 CAPTCHA 系統難度並不會比之前系統的更高，也不需要額外的動作。就算是進入手動驗證階段，使用者也只需點選某個按鈕就能過關。不過，這些新的驗證系統卻對傳統網路釣魚偵測機制帶來重大挑戰，因為偵測機制通常會卡在這些網頁過不去，無法取得網頁的任何資訊。

當使用者通過 CAPTCHA 驗證之後，就會看到網路釣魚網站，這些網站經常模仿使用者熟悉的 Microsoft、Gmail 和 Outlook Web App 登入頁面。基本上，這些網站的網路釣魚方法跟傳統的網路釣魚沒什麼兩樣。

偵測上的挑戰

這類攻擊技巧對資安產品最大的挑戰在於：人類可以輕易通過這些驗證，但自動化偵測技術卻因為各種原因而無法越過 CAPTCHA 驗證來偵測其背後的網路釣魚攻擊。

這類 CAPTCHA 驗證大多免費，甚至會整合至服務供應商的內容供應網路 (CDN) 當中。所以現在許多合法網站經常可以看到 CAPTCHA 驗證，而 CAPTCHA 驗證的出現也會被視為正常，使得偵測技術不易區分合法與非法網站的 CAPTCHA 驗證。

駭客使用的躲避技巧越來越多樣化，傳統只分析單一面向的偵測方法越來越難發揮。比方說，如果只靠趨勢科技網站信譽評等服務的網址分析或網頁內容分析，或是只靠趨勢科技電子郵件信譽評等服務的電子郵件行為分析，就會遇到這樣的情況。僅仰賴單一面向的偵測方法，不僅容易產生盲點，還會增加誤判的風險，導致偵測機制不準確。