钓鱼网站利用验证码绕过自动检测

关注 2019-09-11 08:06:55 查看数 7061 ,评论数 0 资讯


这年头,无论支付、注册、还是登录各种端口,都少不了验证码的参与。虽然保障用户安全的措施有很多,但在普罗大众的眼里只要不把验证码告诉别人,自己的账号安全就能得到保障。可是仔细想想,真的是这样吗?


这些年验证码给我们挖的坑也不少!去年6月就爆出一条新闻说,有不法人士利用短信拦截设备非法获取手机号以及验证码,然后转移卡内资金或者下单消费,竟然成功十余起,直接造成被害人资金损失几百元以及近万元不等。


短信验证码不安全,那语音验证码呢?有一些比较严谨的平台服务会采用语音验证码的方式,可是毕竟骗子历来都是防不胜防,要是监听下验证码也只是洒洒水啦。


既然短信验证码and语音验证码这么多坑,那其他类型的验证码的体验就一定好吗?现在市面上出现的验证码有好几种,最常见的当属随机的数字或者字母,例如:


还有借鉴了iPhone滑动解锁的验证码,如:


难一点就是等式计算了,数学不好的人可咋办。


人类一直在与机器就验证码展开拉锯战,网页和App上的验证码出现的原因只有一个:确保你是活人,而不是机器代码。虽然验证码不断在进化,可道高一尺魔高一丈,最近研究人员发现了一个新的网络钓鱼活动,该活动利用验证码来绕过电子邮件安全网关(SEG)的检测。


企业使用SEG来防范各种基于电子邮件的攻击,SEG可以扫描所有消息、查找恶意内容、并保护企业免受恶意软件和网络钓鱼威胁。


验证码阻止自动扫描


虽然验证码是用来确定用户是人还是机器人的,但极具讽刺意味的是研究人员发现的网络钓鱼活动利用验证码来阻止自动URL分析处理危险页面。


SEG无法继续扫描恶意页面,只会扫描验证码的代码站点,而该网页不包含任何恶意内容,所以SEG会将其标记为安全并允许通过。


攻击者获取了Microsoft帐户的凭据,并创建了一个模仿原始选择帐户并登录的页面。


完成人工验证步骤后即可使用此功能。不用说,文本字段中输入的任何内容都会自动发送给攻击者。


根据研究人员的说法,提供网络钓鱼链接的电子邮件来自“avis.ne.jp”的受感染帐户,并伪装成语音邮件通知。邮件中表示可以使用通信预览功能,单击后,受害者会被重定向到具有验证码的页面。


三十年河东,三十年河西,作为网络安全的第一道“门”,验证码已渗透到人们数字化生活的各个角落,可如今这个原本应该保护用户安全的验证码却成为网络钓鱼的保护伞。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...