據(jù)研究人員稱，網(wǎng)絡(luò)攻擊者正在使用谷歌的reCAPTCHA（又稱 “我不是機(jī)器人 ”功能）和類似CAPTCHA的虛假的服務(wù)來偽裝各種網(wǎng)絡(luò)釣魚攻擊和其他犯罪活動。然而，有跡象表明，這些努力可能正在逐漸失去其效力。

　　CAPTCHA是大多數(shù)互聯(lián)網(wǎng)用戶熟悉的工具，用來確認(rèn)用戶是人類。這種類似圖靈測試的工具通常使用戶點(diǎn)擊網(wǎng)格中所有包含某種物體的照片，或者輸入一個模糊的或者扭曲的字母或者單詞。

　　這個工具的作用是為了防止電子商務(wù)和在線賬戶網(wǎng)站上的機(jī)器人對網(wǎng)頁進(jìn)行訪問，它們對攻擊者也有同樣的作用。

　　Palo Alto Networks的Unit 42在周五的文章中稱，將釣魚內(nèi)容隱藏在驗(yàn)證碼后面，可以防止安全爬蟲檢測到惡意內(nèi)容，同時也使得釣魚登錄頁面的外觀看起來更加的合法。

　　雖然這不是什么新技術(shù)，但它現(xiàn)在也變得越來越流行。就在上個月，該公司在4,088個付費(fèi)的域名上發(fā)現(xiàn)了7,572個獨(dú)特的惡意URL，它們都采用了混淆加密的方法。這意味著平均每天就會出現(xiàn)529個新的CAPTCHA保護(hù)的惡意URL。

　　不一般的網(wǎng)絡(luò)釣魚：新型惡意網(wǎng)址

　　據(jù)Unit 42稱，除了無休止的一連串的網(wǎng)絡(luò)釣魚攻擊活動外，詐騙活動和使用CAPTCHA規(guī)避的惡意網(wǎng)關(guān)也在增加。

　　問卷調(diào)查和彩票詐騙是一些最常見的灰色軟件頁面，為了換取虛假的付款或中獎的機(jī)會，用戶會被攻擊者引誘披露敏感的個人信息，包括地址、出生日期、銀行信息、年收入等。

　　研究人員說，通常情況下，這些網(wǎng)頁只有在根據(jù)IP和瀏覽器版本認(rèn)為是自動化爬蟲的情況下才會顯示驗(yàn)證碼，這樣就可以盡可能多的引誘訪問者上當(dāng)。

　　另一個不斷增長的攻擊方式是濫用合法的CAPTCHA服務(wù)的軟件交付頁面。

　　例如，URL hxxps://davidemoscato[.com]提供了一個惡意的JAR文件，通過用CAPTCHA來保護(hù)頁面，這樣就繞過了安全掃描器。

　　如何找到受驗(yàn)證碼保護(hù)的惡意網(wǎng)站

　　Unit 42的研究人員說，好消息是，通過CAPTCHA密鑰的關(guān)聯(lián)，有可能檢測出釣魚網(wǎng)頁。

　　研究人員說，放置驗(yàn)證碼的頁面會發(fā)送一些可以在HTML中解析的子請求，這些請求包含了URL參數(shù)中使用的reCAPTCHA API密鑰。這種標(biāo)識符可以被解析出來，并在其他頁面上被搜索到。

　　他們解釋說：“我們看到許多惡意攻擊活動會重復(fù)使用CAPTCHA服務(wù)密鑰，要么是為了簡化他們的惡意軟件基礎(chǔ)設(shè)施，要么是為了避免因創(chuàng)建過多的CAPTCHA賬戶和密鑰而被合法的reCAPTCHA供應(yīng)商阻止?！?/p>

　　例如，根據(jù)該報(bào)告，在一個案例中，一個對微軟憑證進(jìn)行竊取的網(wǎng)頁使用了與用于蘋果ID網(wǎng)絡(luò)釣魚的URL相同的密鑰。

　　研究人員總結(jié)說：“大規(guī)模的網(wǎng)絡(luò)釣魚和灰色軟件活動目前已經(jīng)變得非常復(fù)雜，它們會使用逃避技術(shù)來繞過自動安全爬蟲的檢測。幸運(yùn)的是，當(dāng)惡意行為者在其惡意網(wǎng)站的生態(tài)系統(tǒng)中使用基礎(chǔ)設(shè)施、服務(wù)或工具時，我們有機(jī)會利用這些指標(biāo)來對付他們。CAPTCHA標(biāo)識符是這種關(guān)聯(lián)檢測的一個很好的例子”。