對(duì)于不少網(wǎng)友來(lái)說(shuō),很多網(wǎng)站常用的Captcha驗(yàn)證碼機(jī)制(一種通過(guò)識(shí)別圖片中字母方式來(lái)區(qū)分真實(shí)人類還是網(wǎng)絡(luò)機(jī)器人的驗(yàn)證方法)并不陌生。可是這個(gè)機(jī)制現(xiàn)在已不再安全,因?yàn)橛邪踩芯咳藛T發(fā)現(xiàn)駭客正利用其將受害者引入網(wǎng)絡(luò)釣魚頁(yè)面。
據(jù)悉,駭客會(huì)在電子郵件中夾帶一個(gè)語(yǔ)音文件,一旦收信人按下播放鍵,會(huì)彈出一個(gè)Captcha驗(yàn)證碼頁(yè)面,而安全電子郵件網(wǎng)關(guān)(Secure Email Gateway,SEG)掃描后是無(wú)法發(fā)現(xiàn)惡意組件的,但其卻會(huì)將收信人繼續(xù)引導(dǎo)至一個(gè)有輸入需求的微軟證書釣魚頁(yè)面。
研究人員表示,不管是Captcha頁(yè)面或是網(wǎng)釣頁(yè)面都是由微軟架構(gòu)代管,且兩個(gè)網(wǎng)頁(yè)也都使用合法的微軟頂級(jí)網(wǎng)域名稱,因此在與網(wǎng)域黑名單進(jìn)行比對(duì)時(shí),得到的都是“安全”的回復(fù)。
據(jù)統(tǒng)計(jì),在所有的網(wǎng)釣活動(dòng)中,有75%都是為了竊取受害者的證書,而在這些捕獲證書的攻擊中,又有超過(guò)91%是想方設(shè)法地繞過(guò)SEG。總之,使用者在開啟來(lái)路不明的郵件,或是通過(guò)鏈接訪問(wèn)各類網(wǎng)站,并被要求輸入證書時(shí)都應(yīng)該特別小心才行。
