Cofense發現的新型網釣案例之一,是在一個電子郵件中夾帶一個語音檔案,當使用者按下播放鍵時,會先被導至一個只呈現圖靈測試以驗證是否為人類的頁面,由於該頁面只具備了Captcha程式,SEG掃描後發現它未含任何惡意元件,即會將它歸類為安全。繼之受害者就會被導至一個要求輸入微軟憑證的網釣頁面。(圖片來源/Cofense,https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/ )

專門提供網釣防護服務的Cofense在本周揭露了駭客的新招術:先利用Captcha圖靈測試來阻擋安全電子郵件閘道機制(Secure Email Gateway,SEG),再將已被證實為人類的受害者,導至真正的網釣頁面上。

Cofense所發現的案例之一,是在一個電子郵件中夾帶一個語音檔案,當使用者按下播放鍵時,會先被導至一個只呈現圖靈測試以驗證是否為人類的頁面,由於該頁面只具備了Captcha程式,SEG掃描後發現它未含任何惡意元件,即會將它歸類為安全。

不過,SEG在這裡就被擋住了,只有人類才能通過Captcha圖靈測試,繼之受害者就會被導至一個要求輸入微軟憑證的網釣頁面。

研究人員表示,不管是Captcha頁面或是網釣頁面都是由微軟架構代管,且兩個網頁也都使用合法的微軟頂級網域名稱,因此在與網域黑名單進行比對時,得到的都是「安全」的回覆。

根據Cofense的統計,在所有的網釣活動中,有75%都是為了竊取受害者的憑證,而在這些捕獲憑證的攻擊中,又有超過91%是想方設法地繞過SEG。總之,使用者在開啟來路不明的郵件,或是透過連結造訪各式網站,並被要求輸入憑證時都應特別小心。


Advertisement

更多 iThome相關內容