據(jù)研究人員稱,，網(wǎng)絡(luò)攻擊者正在使用谷歌的reCAPTCHA（又稱 “我不是機(jī)器人 ”功能）和類似CAPTCHA的虛假的服務(wù)來偽裝各種網(wǎng)絡(luò)釣魚攻擊和其他犯罪活動(dòng)。然而,，有跡象表明,，這些努力可能正在逐漸失去其效力。

　　CAPTCHA是大多數(shù)互聯(lián)網(wǎng)用戶熟悉的工具,，用來確認(rèn)用戶是人類,。這種類似圖靈測試的工具通常使用戶點(diǎn)擊網(wǎng)格中所有包含某種物體的照片，或者輸入一個(gè)模糊的或者扭曲的字母或者單詞,。

　　這個(gè)工具的作用是為了防止電子商務(wù)和在線賬戶網(wǎng)站上的機(jī)器人對(duì)網(wǎng)頁進(jìn)行訪問,，它們對(duì)攻擊者也有同樣的作用。

　　Palo Alto Networks的Unit 42在周五的文章中稱,，將釣魚內(nèi)容隱藏在驗(yàn)證碼后面,，可以防止安全爬蟲檢測到惡意內(nèi)容，同時(shí)也使得釣魚登錄頁面的外觀看起來更加的合法,。

　　雖然這不是什么新技術(shù),，但它現(xiàn)在也變得越來越流行。就在上個(gè)月,，該公司在4,088個(gè)付費(fèi)的域名上發(fā)現(xiàn)了7,572個(gè)獨(dú)特的惡意URL,，它們都采用了混淆加密的方法。這意味著平均每天就會(huì)出現(xiàn)529個(gè)新的CAPTCHA保護(hù)的惡意URL,。

　　不一般的網(wǎng)絡(luò)釣魚：新型惡意網(wǎng)址

　　據(jù)Unit 42稱,，除了無休止的一連串的網(wǎng)絡(luò)釣魚攻擊活動(dòng)外，詐騙活動(dòng)和使用CAPTCHA規(guī)避的惡意網(wǎng)關(guān)也在增加,。

　　問卷調(diào)查和彩票詐騙是一些最常見的灰色軟件頁面,，為了換取虛假的付款或中獎(jiǎng)的機(jī)會(huì)，用戶會(huì)被攻擊者引誘披露敏感的個(gè)人信息,，包括地址,、出生日期、銀行信息,、年收入等,。

　　研究人員說,，通常情況下，這些網(wǎng)頁只有在根據(jù)IP和瀏覽器版本認(rèn)為是自動(dòng)化爬蟲的情況下才會(huì)顯示驗(yàn)證碼,，這樣就可以盡可能多的引誘訪問者上當(dāng),。

　　另一個(gè)不斷增長的攻擊方式是濫用合法的CAPTCHA服務(wù)的軟件交付頁面。

　　例如,，URL hxxps://davidemoscato[.com]提供了一個(gè)惡意的JAR文件,，通過用CAPTCHA來保護(hù)頁面，這樣就繞過了安全掃描器,。

　　如何找到受驗(yàn)證碼保護(hù)的惡意網(wǎng)站

　　Unit 42的研究人員說,，好消息是，通過CAPTCHA密鑰的關(guān)聯(lián),，有可能檢測出釣魚網(wǎng)頁,。

　　研究人員說，放置驗(yàn)證碼的頁面會(huì)發(fā)送一些可以在HTML中解析的子請(qǐng)求,，這些請(qǐng)求包含了URL參數(shù)中使用的reCAPTCHA API密鑰,。這種標(biāo)識(shí)符可以被解析出來，并在其他頁面上被搜索到,。

　　他們解釋說：“我們看到許多惡意攻擊活動(dòng)會(huì)重復(fù)使用CAPTCHA服務(wù)密鑰,，要么是為了簡化他們的惡意軟件基礎(chǔ)設(shè)施，要么是為了避免因創(chuàng)建過多的CAPTCHA賬戶和密鑰而被合法的reCAPTCHA供應(yīng)商阻止,?！?/p>

　　例如，根據(jù)該報(bào)告,，在一個(gè)案例中,，一個(gè)對(duì)微軟憑證進(jìn)行竊取的網(wǎng)頁使用了與用于蘋果ID網(wǎng)絡(luò)釣魚的URL相同的密鑰。

　　研究人員總結(jié)說：“大規(guī)模的網(wǎng)絡(luò)釣魚和灰色軟件活動(dòng)目前已經(jīng)變得非常復(fù)雜,，它們會(huì)使用逃避技術(shù)來繞過自動(dòng)安全爬蟲的檢測,。幸運(yùn)的是，當(dāng)惡意行為者在其惡意網(wǎng)站的生態(tài)系統(tǒng)中使用基礎(chǔ)設(shè)施,、服務(wù)或工具時(shí),，我們有機(jī)會(huì)利用這些指標(biāo)來對(duì)付他們。CAPTCHA標(biāo)識(shí)符是這種關(guān)聯(lián)檢測的一個(gè)很好的例子”,。