Captcha jako nový prostředek phishingových útoků

Pomocí systému Captcha se tak prostě a jednoduše ověřuje to, že na dané stránky přistupuje člověk a ne nežádoucí bot. Nejběžnějším způsobem je opsání zdeformovaného textu, který by bot neměl být schopen přečíst. Ovšem bezpečnostní společnost Cofense objevila způsob, který postavil princip systému Captcha na hlavu.

 

 

Jistá hackerská skupina nyní našla způsob, jak využít Captcha tak, aby malwarové scannery nemohly ověřit, zda je daná webová stránka navržena tak, aby kradla uživatelům citlivá data a především přihlašovací údaje k různým službám. To se obecně pokládá za phishing v případě, kdy se uživatel sám s podvodnými stránkami (či jiným způsobem) dobrovolně o své údaje podělí, takže je v podstatě napálen. 

 

 

Pokud se tak někdo spoléhá na SEG (Secure Email Gateway), že jej ochrání před internetovým zločinem, v tomto případě může narazit, neboť ochranný systém se nedostane přes Captcha, aby mohl ověřit kód samotné stránky, na kterou se dostane až uživatel. Systém vidí pouze kód, který neobsahuje nic podezřelého, takže odkaz či stránky označí za bezpečné a umožní uživatelům se na ně dostat. 

 

V dosud známých případech byl tento systém využit k tomu, aby se lidé dostali na podvodné stránky pro přihlášení se k účtu Microsoft. Dané odkazy jsou servírovány pomocí e-mailových zpráv, které chodí z již dříve ovládnutého e-mailového účtu serveru avis.ne.jp. Ty se snaží tvářit jako upozornění na hlasovou zprávu, přičemž samotná Captcha i podvodná phishingová stránka se nachází v cloudu samotného Microsoftu. I to může pomoci oblbnout ochranu.