【真假難分】reCaptcha API 提升釣魚電郵成功率
可能你未必留意到 reCaptcha 係啲乜嚟,但你絕對有用過呢項人類驗證功能。當你去到某啲網站嘅時候,為咗證明你唔係機械人,就首先要通過點選 reCaptcha 驗證 box 入面嘅圖案,例如有幾多格有交通燈、貓,答中咗先可以去到指定網站或開始網購。而雲端安全解決方案供應商 Barracuda 最近就發表報告,多咗黑客利用真嘅 reCaptcha API 嚟提升釣魚攻擊嘅可信性,特別係搏取安全防護系統嘅信任添!
先交代下 reCaptcha 呢項功能先,其實佢早喺 2003 年已被提出,不過當時只係叫 Captcha。後來團隊諗到用呢項功能行善,就係借助網民力量提升 OCR 光學掃描技術嘅準確度,於是計劃先變成 reCaptcha,收錄及分析由網民上傳嘅文字辨認數據。之不過,後來 AI 技術愈嚟愈強,強到連變晒形嘅字都辨認到,甚至比人類更準確,令阻擋機械人嘅功能全失,之後先變成用圖驗證,慢慢再發展到連圖都唔使,而係靠分析瀏覽器背後記錄嘅瀏覽行為,去睇吓你係人係鬼。
Barracuda 嘅研究員喺網誌上指出,以往黑客透過釣魚電郵嚟盜取帳戶登入資料,一般會靠電郵內嘅連結,引導目標人士去到版面好真實嘅虛假網站,然後輸入登入名稱及密碼。為咗提升網站跳轉過程嘅真實性,有黑客第一步會先引導去一個 reCaptcha 驗證器嘅版面,等目標人士覺得好似可信啲,再跳轉去 Microsoft 之類嘅帳戶登入版面時會放低戒心。但自從電郵防護系統引入 URL 掃描技術後,由於系統會發現到跳轉版面入面嘅 reCaptcha 驗證器只係得個樣,所以就識得自動封鎖;黑客唯有再提升招數,今次就係虛假頁面用埋真嘅 reCaptcha API,防護系統就無咁易發現啦!
研究員話喺今次調查入面,發現只得一個使用假 reCaptcha 嘅電郵被偵測到,其餘 10 萬個用真 reCaptcha 嘅電郵就順利過關,所以就呼籲各位電郵用家要加倍小心呢種釣魚電郵攻擊新趨勢,包括要檢查清楚發信人身份、電郵內嘅連結有無造假,以及唔好隨便打開附件。