用來驗證真人的 CAPTCHA 遭駭客利用，變成釣魚網頁的新工具

CAPTCHA 是認證使用者是否真人的圖靈測試機制，最常見的就是在數張圖片選出正確的圖片。不過，最近有資安公司發現，有駭客利用 CAPTCHA 機制，繞過電子郵件的安全防護機制，讓原本電子郵件過濾釣魚網頁的機器人檢查機制無法檢查釣魚網頁，如果你是真人，就將你導引到釣魚網頁。

目前一般防毒軟體或公司防毒系統，多半都有提供釣魚網頁防護。原理也很簡單，就是檢查你收到的 Email 嵌入網頁，或是試圖引誘人點擊的網頁連結，是否與資料庫已知的釣魚網頁網址相符。

換句話說，防毒軟體要能發揮阻擋釣魚網頁的前提有兩個，第一就是必須有知道有哪些釣魚網頁的網址資料庫，第二就是必須知道 Email 是否含有這網址，或將你導向這個網址。

現在發現的駭客方式是這樣的：釣魚郵件傳送宣稱有語音轉郵件服務的郵件給受害者。

受害者發現接到語音郵件訊息，按下播放鍵播放語音時，會跳出 CAPTCHA，要求你驗證不是機器人。

確認之後，就會導引到釣魚網頁。以下圖為例，就是要求輸入微軟 MSN 帳號及密碼以通過身分認證。如果輸入，資料就外洩了。

這個方法做起來不困難，聰明的地方在於，首先第一關語音郵件沒有任何惡意程式，只夾帶 CAPTCHA 程式，故防護機制不會認為這是危險的郵件。再加上防護機制過不了 CAPTCHA 程式驗證，因此不知道這郵件會導向釣魚網頁。

驗證是真人的 CAPTCHA 程式，原本是讓網路服務更安全，不會被網路機器人濫用。沒想到駭客反向思考後，成為阻擋資安防護機制的工具。

• New Phishing Campaign Uses Captcha to Bypass Email Gateway

（本文由 T客邦 授權轉載）