本文探討利用 CAPTCHA 人機驗證來躲避偵測的網路釣魚攻擊,並提出一套資安框架來解決這類威脅。
CAPTCHA 的全名是「Completely Automated Public Turing test to tell Computers and Humans Apart」(區分電腦與人類的全自動化公開圖靈測驗),該測驗在資安領域扮演了提升安全、防止未經授權存取的關鍵角色。它基本上是一種「質詢/應答」(challenge-response) 機制,可用於區分自動化機器人與人類使用者。
近年來,CAPTCHA 技術突飛猛進,以至於許多服務供應商都提供免費的 CAPTCHA 工具來讓客戶保護網站,以免網站遭到網路攻擊。然而,駭客也開始在網路釣魚網站上利用 CAPTCHA 來躲避資安產品的偵測。由於 CAPTCHA 的設計原本就是為了阻擋自動化機器人進入網站,所以這類服務也會讓資安產品更難自動偵測網路釣魚。
也因此,傳統的偵測方法已經無法滿足當前的需要。本文討論趨勢科技如何解決這項挑戰:透過一套內建行為式 AI 防護技術的平台來偵測網路釣魚網站,有效應付進階躲避技巧。
延伸閱讀:【證明你不是機器人】後,竟被植入銀行木馬竊帳密, CAPTCHA 驗證機制被網路釣魚利用接收惡意網站通知、竊個資!
