對于不少網(wǎng)友來說,很多網(wǎng)站常用的Captcha驗證碼機制(一種通過識別圖片中字母方式來區(qū)分真實人類還是網(wǎng)絡(luò)機器人的驗證方法)并不陌生。可是這個機制現(xiàn)在已不再安全,因為有安全研究人員發(fā)現(xiàn)駭客正利用其將受害者引入網(wǎng)絡(luò)釣魚頁面。
據(jù)悉,駭客會在電子郵件中夾帶一個語音文件,一旦收信人按下播放鍵,會彈出一個Captcha驗證碼頁面,而安全電子郵件網(wǎng)關(guān)(Secure Email Gateway,SEG)掃描后是無法發(fā)現(xiàn)惡意組件的,但其卻會將收信人繼續(xù)引導(dǎo)至一個有輸入需求的微軟證書釣魚頁面。
研究人員表示,不管是Captcha頁面或是網(wǎng)釣頁面都是由微軟架構(gòu)代管,且兩個網(wǎng)頁也都使用合法的微軟頂級網(wǎng)域名稱,因此在與網(wǎng)域黑名單進行比對時,得到的都是“安全”的回復(fù)。
據(jù)統(tǒng)計,在所有的網(wǎng)釣活動中,有75%都是為了竊取受害者的證書,而在這些捕獲證書的攻擊中,又有超過91%是想方設(shè)法地繞過SEG。總之,使用者在開啟來路不明的郵件,或是通過鏈接訪問各類網(wǎng)站,并被要求輸入證書時都應(yīng)該特別小心才行。
