《Disney +》 迪士尼、Marvel、彼思、星球大戰…  『鬼滅之刃 火之神血風譚』VS模式參戰角色介紹①   KONAMI《eFootball 2022》試遊活動! 起在9月30日公開前看看遊戲內容!   美女電競選手「野野宮美香」開設微博帳戶   「異度神劍2」焰/光將參戰「大亂鬥SP」!・・・那個雷克斯呢?   《Jurassic World Evolution 2》將於 2021 年 11 月 9 日捱出   潮牌Onitsuka Tiger聯乘山下智久 在YouTube開播電競節目TOMO’S GAME ROOM   《First Class Trouble》AI叛變的求生指南   《Returnal》戰鬥細節介紹:可升級武器、異世界工具和具有風險的收集品 

報告顯示惡意使用 reCaptcha 攻擊數量上升

商業

雲端安全解決方案供應商 Barracuda發表每月《焦點報告》(Threat Spotlight),發現網絡釣魚攻擊惡意使用reCaptcha的趨勢日漸上升,試圖阻截URL自動分析系統存取釣魚網頁內容,另以增加其可信性。

一般而言,企業會使用reCaptcha 識別真實用戶與Bot(機械人程式), 阻止Bot恣意存取網頁內容。 隨着reCaptcha的應用普及, 用戶已習慣回應reCaptcha問題並減少戒心,犯罪分子因此利用正當reCaptcha混淆用戶,以提高釣魚網站的可信性,誘騙用戶上當。

雖然部分攻擊使用虛假 reCaptcha,僅提供簡單仿冒選擇框和表單,然而Barracuda發現近期釣魚攻擊使用真實reCaptcha API呈上升趨勢,做法可有效跳過URL自動分析系統對虛假reCaptcha的偵測和阻截。其中一個攻擊發出逾128,000封釣魚電郵,以虛假reCaptcha混淆用戶仿冒的Microsoft登錄頁面,當用戶打開該電郵包含的HTML附件時,會被連接到虛假reCaptcha頁面,用戶通過reCaptcha 驗證後將被連接到釣魚網頁。

在防禦惡意使用reCaptcha中,安全意識教育是重要的一環,提醒用戶時刻保持警惕而不可假設所有reCaptcha都安全。用戶在查看reCaptcha時應仔細檢查,尤其是陌生頁面。應對電郵釣魚攻擊時,仔細檢查可疑發件人、URL和附件等措施有助用戶在被連接到reCaptcha前已可識別出攻擊,因為為用戶提供安全意識培訓及如何識別網絡釣魚攻擊可大大減低相關風險。

即使惡意使用reCaptcha的技掚可跳過URL自動分析系統偵測功能,由於電郵本身仍屬釣魚攻擊,可能會被電郵保護方案偵測到。然而,畢竟未有單一解決方案可以全面堵截所有攻擊,用戶識別可疑電郵和網站的能力是最重要的防線。

有關報告詳情,可參閱英文版附件或於 https://blog.barracuda.com/2020/04/30/threat-spotlight-malicious-recaptcha/ 下載。

這篇文章 報告顯示惡意使用 reCaptcha 攻擊數量上升 最早出現於 TechApple.com

TechApple

隨機商業新聞

Disney+