親愛的網友:
為確保您享有最佳的瀏覽體驗,建議您提升您的 IE 瀏覽器至最新版本,感謝您的配合。
Google新品發表
數位焦點
通訊世界
社群網路
3C生活
軟體情報
科技娛樂
電玩電競

脫歐倒數!英國會通過《強生版協議》但封殺「加速立法」

法務部「陳同佳案」第5份聲明:曾協助港警逮殺人犯

小心!驗證真人機制遭駭客利用 變釣魚網頁新工具

2019-09-18 20:48T客邦

分享

Captcha是用來認證使用者是否是真人的圖靈測試機制,過去最常見的就是在數張圖片中點選一張正確的圖片。不過,最近有資安公司發現,有駭客利用Captcha這個機制,來繞過電子郵件的安全防護機制,讓原本電子郵件用來過濾釣魚網頁的機器人檢查機制無法檢查這個釣魚網頁,然後如果你是真的人類的話,就會將你導引到釣魚網頁上。

目前一般防毒軟體,或是公司的防毒系統,多半都有提供釣魚網頁防護的機制。而原理也很簡單,就是檢查你收到的Email嵌入的網頁,或是試圖要將你過去的網頁連結,是否與資料庫中已經知道的釣魚網頁網址相符。

換句話說,防毒軟體要能夠發揮阻擋釣魚網頁的前提有兩個,第一就是他必須要有一個知道有哪些釣魚網頁的網址資料庫,第二就是他必須要知道你的Email中是否有含有這個網址,或是要將你導向這個網址。

而現在被發現的駭客方式是這樣的,原理是釣魚郵件傳送了一個宣稱帶有語音轉郵件服務的郵件給受害者。

受害者在發現自己接收到語音郵件訊息,想要按下播放鍵播放語音的時候,這時就會跳出一個Captcha機制,要求你驗證自己不是機器人。

而當你確認之後,就會被導引到一個釣魚網頁。以下圖為例,就是要求你輸入你的微軟MSN帳號以及密碼以通過身份認證。但是如果你在這裡輸入了,你的資料就外洩了。

這個方法實施起來不困難,但是聰明的地方在於,首先在第一關的語音郵件是沒有任何惡意程式,只帶有一個Captcha程式,因此防護機制不會認為這是一個危險的郵件。再加上防護機制過不了Captcha程式的驗證,因此更不知道後來這個郵件會把你導向釣魚網頁。

用來驗證你是真人的Captcha程式,目的原本是用來讓網路的服務更安全,不會被一些網路機器人濫用。但沒想到在駭客的反向思考下,成為用來阻擋資安防護機制的工具。

新聞來源:cofense

《原文刊登於合作媒體T客邦,聯合新聞網獲授權轉載。》

駭客資安

T客邦

《T客邦》是PC home電腦家庭出版社經營的科技媒體網站,由一群愛玩電腦的阿宅編輯,每天提供新鮮有趣的科技情報,以及自己爆肝測試後的評測心得。

相關新聞

17 直播聯手爆料公社 票選女神男神

2019-09-18 11:24

老人素人斜槓人快開機 直播釣魚買拖鞋都有錢景

2019-09-18 11:19

免費貼圖騙個資 這些招數教你自保

2019-09-18 11:10

熱門文章

蘋果:六款機型再不升級iOS 這些功能將失靈

2019-10-22 20:54

iPhone12 Pro Max概念曝光? 設計師揭露「四鏡頭全螢幕」樣式

2019-10-23 11:18

美軍核武系統55歲古董級電腦終於更新 擺脫8吋磁碟片!

2019-10-22 19:18

影/華為研發鴻蒙對打谷歌? 任正非:不會替代安卓

2019-10-22 16:27

我很醜但很有用!人造皮膚手機殼 新觸控輸入模式

2019-10-22 17:29

猛獸級新機登台 6400萬4鏡頭的realme XT只要八千有找

2019-10-22 18:06

三款realme四鏡頭主相機猛獸手機登台 主打6400萬畫素超高解像力

2019-10-22 22:02

NCC再度介入HBO斷訊風暴 要求調處不得斷訊

2019-10-22 22:18

商品推薦

贊助廣告

商品推薦

留言


Top