雲端安全解決方案供應商 Barracuda發表每月《焦點報告》(Threat Spotlight),發現網絡釣魚攻擊惡意使用reCaptcha的趨勢日漸上升,試圖阻截URL自動分析系統存取釣魚網頁內容,另以增加其可信性。
一般而言,企業會使用reCaptcha 識別真實用戶與Bot(機械人程式), 阻止Bot恣意存取網頁內容。 隨着reCaptcha的應用普及, 用戶已習慣回應reCaptcha問題並減少戒心,犯罪分子因此利用正當reCaptcha混淆用戶,以提高釣魚網站的可信性,誘騙用戶上當。
雖然部分攻擊使用虛假 reCaptcha,僅提供簡單仿冒選擇框和表單,然而Barracuda發現近期釣魚攻擊使用真實reCaptcha API呈上升趨勢,做法可有效跳過URL自動分析系統對虛假reCaptcha的偵測和阻截。其中一個攻擊發出逾128,000封釣魚電郵,以虛假reCaptcha混淆用戶仿冒的Microsoft登錄頁面,當用戶打開該電郵包含的HTML附件時,會被連接到虛假reCaptcha頁面,用戶通過reCaptcha 驗證後將被連接到釣魚網頁。
在防禦惡意使用reCaptcha中,安全意識教育是重要的一環,提醒用戶時刻保持警惕而不可假設所有reCaptcha都安全。用戶在查看reCaptcha時應仔細檢查,尤其是陌生頁面。應對電郵釣魚攻擊時,仔細檢查可疑發件人、URL和附件等措施有助用戶在被連接到reCaptcha前已可識別出攻擊,因為為用戶提供安全意識培訓及如何識別網絡釣魚攻擊可大大減低相關風險。
即使惡意使用reCaptcha的技掚可跳過URL自動分析系統偵測功能,由於電郵本身仍屬釣魚攻擊,可能會被電郵保護方案偵測到。然而,畢竟未有單一解決方案可以全面堵截所有攻擊,用戶識別可疑電郵和網站的能力是最重要的防線。
有關報告詳情,可參閱英文版附件或於 https://blog.barracuda.com/2020/04/30/threat-spotlight-malicious-recaptcha/ 下載。
這篇文章 報告顯示惡意使用 reCaptcha 攻擊數量上升 最早出現於 TechApple.com。