Google reCAPTCHA是一个非常受欢迎的验证码工具,有助于防止不怀好意的人创建虚假帐户或在网站评论表单上留下垃圾邮件。
公平地讲,像Google reCAPTCHA V3 这样的现代实现方式已经改变了验证码系统的工作方式,经常要求用户单击一个框,说“我不是机器人”。而不用检测所有图像。
但是,安全研究人员发现,网络犯罪分子正在部署Google的reCAPTCHA反机器人工具,以避免早期发现其恶意活动。
犯罪分子正在使用reCAPTCHA墙来阻止其网络钓鱼页面的内容被URL扫描服务所扫描。
换句话说,reCAPTCHA系统不仅可以阻止恶意机器人,还可以成功阻止良性机器人,例如自动系统,该系统可以在人们无意识的点击之前检查电子邮件中URL的安全性。
简而言之,自动URL分析系统无法访问网络钓鱼页面的实际内容,因此在评估链接是否可以安全单击时,它们将无法使用其中包含的任何信息。
此外,研究人员声称,人类实际上可以使reCAPTCHA的存在更令人放心,从而让网络钓鱼站点更可信。
网络钓鱼攻击是一种最简单有效的攻击,比如,犯罪分子将语音发送到邮件,它鼓励收件人打开附件来收听他们错过的语音邮件。
附件是一个HTML文件,可将用户重定向到仅包含Google reCAPTCHA的网页。
完成reCAPTCHA后,用户将被重定向到网页仿冒页面,在本例中该页面被伪称为真正的Microsoft登录页面,但旨在窃取密码。
请记住,安全解决方案不可能100%有效,Google reCAPTCHA的存在并不能保证其所保护的内容是可信的。
始终对输入敏感信息的位置进行仔细判断,并考虑使用密码管理器。
好的密码管理器是抵御网上诱骗的强大工具。密码管理器不会提示您在无法识别的域上输入密码-这意味着即使网络钓鱼站点看起来像是一个真正的网页,也无法提供您的凭据,除非它能够识别浏览器栏中的URL 。运行密码管理器可以很好地防止钓鱼,但常常被我们忽视。
来源:freebuf.com 2020-05-07 10:38:26 by: 比特梵德中国
请登录后发表评论
注册