網(wǎng)絡(luò)犯罪分子設(shè)置了三種不同的驗證碼(CAPTCHA),Office 365 的目標必須單擊這些驗證碼,然后才能進入最終的網(wǎng)絡(luò)釣魚頁面。
研究人員警告說,正在進行的 Office365 憑據(jù)釣魚攻擊針對的是酒店行業(yè),并且使用可視 CAPTCHA 避免檢測并顯得合法。
驗證碼 - 諸如 LinkedIn 和 Google 等網(wǎng)站通常使用的驗證碼是一種挑戰(zhàn) - 響應(yīng)測試,用于確定用戶是否為人類,例如單擊顯示特定對象的網(wǎng)格部分。網(wǎng)絡(luò)犯罪分子以前曾利用驗證碼作為擊敗自動爬網(wǎng)系統(tǒng),確保人員與網(wǎng)頁互動并使網(wǎng)絡(luò)釣魚登陸頁面合法的一種方法。
盡管在網(wǎng)絡(luò)釣魚攻擊中使用驗證碼并不是突破性的,但這種攻擊表明該技術(shù)有效 - 如此之大,以至于該活動的攻擊者對目標使用了三種不同的 CAPTCHA 檢查,最后將它們帶到網(wǎng)絡(luò)釣魚登陸頁面,即 Microsoft Office 365 登錄頁面。
Menlo Security 的研究人員在本周的一篇文章中說:“這里發(fā)生了兩件重要的事情?!?“首先是讓用戶認為這是一個合法網(wǎng)站,因為他們的認知偏見使他們相信這些檢查只會出現(xiàn)在良性網(wǎng)站上。此策略的第二件事是擊敗試圖識別網(wǎng)絡(luò)釣魚攻擊的自動爬網(wǎng)系統(tǒng)?!?br/>
Microsoft Office 365網(wǎng)絡(luò)釣魚攻擊使用多個驗證碼
攻擊期間出現(xiàn)的驗證碼之一。 Credit: Menlo Security
研究人員說,萬一第一個被自動系統(tǒng)擊敗,CAPTCHA 可以作為備份。
在第一次 CAPTCHA 檢查中,僅要求目標選中一個框,上面寫著 “我不是機器人”。
之后,將它們帶到第二個 CAPTCHA,這要求他們選擇例如所有與自行車相匹配的圖片塊,然后是第三個 CAPTCHA,要求他們識別出與人行橫道匹配的所有圖片。攻擊者也不使用相同的驗證碼 - 研究人員說,在測試過程中,他們至少發(fā)現(xiàn)了四張不同的圖像。
最后,在通過所有這些檢查之后,目標被帶到最終的登錄頁面,該頁面模擬了 Office 365 登錄頁面,以試圖竊取受害者的憑據(jù)。
Office 365 網(wǎng)絡(luò)釣魚登錄頁面。 Credit: Menlo Security
如上所述,網(wǎng)絡(luò)犯罪分子依靠以前利用 CAPTCHA 系統(tǒng)顯得合法的網(wǎng)絡(luò)釣魚攻擊。例如,五月網(wǎng)絡(luò)釣魚攻擊偽裝成發(fā)送傳票,但實際上是在竊取用戶的 Office 365 憑據(jù)。并且,在 2019 年,發(fā)現(xiàn)了一個網(wǎng)絡(luò)釣魚騙局,利用偽造的 Google reCAPTCHA 系統(tǒng)掩蓋其惡意登陸頁面,兜售惡意軟件。
研究人員說,這種攻擊表明網(wǎng)絡(luò)犯罪分子在網(wǎng)絡(luò)釣魚和基于電子郵件的攻擊方面繼續(xù)改變其策略。確實,就在過去一周內(nèi),研究人員警告過創(chuàng)新的網(wǎng)絡(luò)釣魚技術(shù),例如利用 OAuth2 或其他基于令牌的授權(quán)方法,或假裝為 Windows 7 升級的網(wǎng)絡(luò)釣魚電子郵件。
以上文章部分內(nèi)容采集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)客服處理,謝謝!