Microsoft Office 365 新型網(wǎng)絡釣魚攻擊，使用多個驗證碼檢測體現(xiàn)合法性

瀏覽量（81780）時間：2020-10-09

網(wǎng)絡犯罪分子設(shè)置了三種不同的驗證碼（CAPTCHA），Office 365 的目標必須單擊這些驗證碼，然后才能進入最終的網(wǎng)絡釣魚頁面。

研究人員警告說，正在進行的 Office365 憑據(jù)釣魚攻擊針對的是酒店行業(yè)，并且使用可視 CAPTCHA 避免檢測并顯得合法。

驗證碼 - 諸如 LinkedIn 和 Google 等網(wǎng)站通常使用的驗證碼是一種挑戰(zhàn) - 響應測試，用于確定用戶是否為人類，例如單擊顯示特定對象的網(wǎng)格部分。網(wǎng)絡犯罪分子以前曾利用驗證碼作為擊敗自動爬網(wǎng)系統(tǒng)，確保人員與網(wǎng)頁互動并使網(wǎng)絡釣魚登陸頁面合法的一種方法。

盡管在網(wǎng)絡釣魚攻擊中使用驗證碼并不是突破性的，但這種攻擊表明該技術(shù)有效 - 如此之大，以至于該活動的攻擊者對目標使用了三種不同的 CAPTCHA 檢查，最后將它們帶到網(wǎng)絡釣魚登陸頁面，即 Microsoft Office 365 登錄頁面。

Menlo Security 的研究人員在本周的一篇文章中說：“這里發(fā)生了兩件重要的事情。” “首先是讓用戶認為這是一個合法網(wǎng)站，因為他們的認知偏見使他們相信這些檢查只會出現(xiàn)在良性網(wǎng)站上。此策略的第二件事是擊敗試圖識別網(wǎng)絡釣魚攻擊的自動爬網(wǎng)系統(tǒng)?！?br/>
Microsoft Office 365網(wǎng)絡釣魚攻擊使用多個驗證碼

攻擊期間出現(xiàn)的驗證碼之一。 Credit: Menlo Security

研究人員說，萬一第一個被自動系統(tǒng)擊敗，CAPTCHA 可以作為備份。

在第一次 CAPTCHA 檢查中，僅要求目標選中一個框，上面寫著 “我不是機器人”。

之后，將它們帶到第二個 CAPTCHA，這要求他們選擇例如所有與自行車相匹配的圖片塊，然后是第三個 CAPTCHA，要求他們識別出與人行橫道匹配的所有圖片。攻擊者也不使用相同的驗證碼 - 研究人員說，在測試過程中，他們至少發(fā)現(xiàn)了四張不同的圖像。

最后，在通過所有這些檢查之后，目標被帶到最終的登錄頁面，該頁面模擬了 Office 365 登錄頁面，以試圖竊取受害者的憑據(jù)。

Office 365 網(wǎng)絡釣魚登錄頁面。 Credit: Menlo Security

如上所述，網(wǎng)絡犯罪分子依靠以前利用 CAPTCHA 系統(tǒng)顯得合法的網(wǎng)絡釣魚攻擊。例如，五月網(wǎng)絡釣魚攻擊偽裝成發(fā)送傳票，但實際上是在竊取用戶的 Office 365 憑據(jù)。并且，在 2019 年，發(fā)現(xiàn)了一個網(wǎng)絡釣魚騙局，利用偽造的 Google reCAPTCHA 系統(tǒng)掩蓋其惡意登陸頁面，兜售惡意軟件。

研究人員說，這種攻擊表明網(wǎng)絡犯罪分子在網(wǎng)絡釣魚和基于電子郵件的攻擊方面繼續(xù)改變其策略。確實，就在過去一周內(nèi)，研究人員警告過創(chuàng)新的網(wǎng)絡釣魚技術(shù)，例如利用 OAuth2 或其他基于令牌的授權(quán)方法，或假裝為 Windows 7 升級的網(wǎng)絡釣魚電子郵件。

以上文章部分內(nèi)容采集于網(wǎng)絡，如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)客服處理，謝謝！