據(jù)研究人員稱，網(wǎng)絡攻擊者正在使用谷歌的reCAPTCHA（又稱 “我不是機器人 ”功能）和類似CAPTCHA的虛假的服務來偽裝各種網(wǎng)絡釣魚攻擊和其他犯罪活動。然而，有跡象表明，這些努力可能正在逐漸失去其效力。

　　CAPTCHA是大多數(shù)互聯(lián)網(wǎng)用戶熟悉的工具，用來確認用戶是人類。這種類似圖靈測試的工具通常使用戶點擊網(wǎng)格中所有包含某種物體的照片，或者輸入一個模糊的或者扭曲的字母或者單詞。

　　這個工具的作用是為了防止電子商務和在線賬戶網(wǎng)站上的機器人對網(wǎng)頁進行訪問，它們對攻擊者也有同樣的作用。

　　Palo Alto Networks的Unit 42在周五的文章中稱，將釣魚內(nèi)容隱藏在驗證碼后面，可以防止安全爬蟲檢測到惡意內(nèi)容，同時也使得釣魚登錄頁面的外觀看起來更加的合法。

　　雖然這不是什么新技術，但它現(xiàn)在也變得越來越流行。就在上個月，該公司在4,088個付費的域名上發(fā)現(xiàn)了7,572個獨特的惡意URL，它們都采用了混淆加密的方法。這意味著平均每天就會出現(xiàn)529個新的CAPTCHA保護的惡意URL。

　　不一般的網(wǎng)絡釣魚：新型惡意網(wǎng)址

　　據(jù)Unit 42稱，除了無休止的一連串的網(wǎng)絡釣魚攻擊活動外，詐騙活動和使用CAPTCHA規(guī)避的惡意網(wǎng)關也在增加。

　　問卷調(diào)查和彩票詐騙是一些最常見的灰色軟件頁面，為了換取虛假的付款或中獎的機會，用戶會被攻擊者引誘披露敏感的個人信息，包括地址、出生日期、銀行信息、年收入等。

　　研究人員說，通常情況下，這些網(wǎng)頁只有在根據(jù)IP和瀏覽器版本認為是自動化爬蟲的情況下才會顯示驗證碼，這樣就可以盡可能多的引誘訪問者上當。

　　另一個不斷增長的攻擊方式是濫用合法的CAPTCHA服務的軟件交付頁面。

　　例如，URL hxxps://davidemoscato[.com]提供了一個惡意的JAR文件，通過用CAPTCHA來保護頁面，這樣就繞過了安全掃描器。

　　如何找到受驗證碼保護的惡意網(wǎng)站

　　Unit 42的研究人員說，好消息是，通過CAPTCHA密鑰的關聯(lián)，有可能檢測出釣魚網(wǎng)頁。

　　研究人員說，放置驗證碼的頁面會發(fā)送一些可以在HTML中解析的子請求，這些請求包含了URL參數(shù)中使用的reCAPTCHA API密鑰。這種標識符可以被解析出來，并在其他頁面上被搜索到。

　　他們解釋說：“我們看到許多惡意攻擊活動會重復使用CAPTCHA服務密鑰，要么是為了簡化他們的惡意軟件基礎設施，要么是為了避免因創(chuàng)建過多的CAPTCHA賬戶和密鑰而被合法的reCAPTCHA供應商阻止?！?/p>

　　例如，根據(jù)該報告，在一個案例中，一個對微軟憑證進行竊取的網(wǎng)頁使用了與用于蘋果ID網(wǎng)絡釣魚的URL相同的密鑰。

　　研究人員總結說：“大規(guī)模的網(wǎng)絡釣魚和灰色軟件活動目前已經(jīng)變得非常復雜，它們會使用逃避技術來繞過自動安全爬蟲的檢測。幸運的是，當惡意行為者在其惡意網(wǎng)站的生態(tài)系統(tǒng)中使用基礎設施、服務或工具時，我們有機會利用這些指標來對付他們。CAPTCHA標識符是這種關聯(lián)檢測的一個很好的例子”。