據研究人員稱，網絡攻擊者正在使用谷歌的reCAPTCHA(又稱 "我不是機器人 "功能)和類似CAPTCHA的虛假的服務來偽裝各種網絡釣魚攻擊和其他犯罪活動。然而，有跡象表明，這些努力可能正在逐漸失去其效力。

CAPTCHA是大多數互聯網用戶熟悉的工具，用來確認用戶是人類。這種類似圖靈測試的工具通常使用戶點擊網格中所有包含某種物體的照片，或者輸入一個模糊的或者扭曲的字母或者單詞。

這個工具的作用是為了防止電子商務和在線賬戶網站上的機器人對網頁進行訪問，它們對攻擊者也有同樣的作用。

Palo Alto Networks的Unit 42在周五的文章中稱，將釣魚內容隱藏在驗證碼后面，可以防止安全爬蟲檢測到惡意內容，同時也使得釣魚登錄頁面的外觀看起來更加的合法。

雖然這不是什么新技術，但它現在也變得越來越流行。就在上個月，該公司在4,088個付費的域名上發現了7,572個獨特的惡意URL，它們都采用了混淆加密的方法。這意味著平均每天就會出現529個新的CAPTCHA保護的惡意URL。

不一般的網絡釣魚：新型惡意網址

據Unit 42稱，除了無休止的一連串的網絡釣魚攻擊活動外，詐騙活動和使用CAPTCHA規避的惡意網關也在增加。

問卷調查和彩票詐騙是一些最常見的灰色軟件頁面，為了換取虛假的付款或中獎的機會，用戶會被攻擊者引誘披露敏感的個人信息，包括地址、出生日期、銀行信息、年收入等。

研究人員說，通常情況下，這些網頁只有在根據IP和瀏覽器版本認為是自動化爬蟲的情況下才會顯示驗證碼，這樣就可以盡可能多的引誘訪問者上當。

另一個不斷增長的攻擊方式是濫用合法的CAPTCHA服務的軟件交付頁面。

例如，URL hxxps://davidemoscato[.com]提供了一個惡意的JAR文件，通過用CAPTCHA來保護頁面，這樣就繞過了安全掃描器。

如何找到受驗證碼保護的惡意網站

Unit 42的研究人員說，好消息是，通過CAPTCHA密鑰的關聯，有可能檢測出釣魚網頁。

研究人員說，放置驗證碼的頁面會發送一些可以在HTML中解析的子請求，這些請求包含了URL參數中使用的reCAPTCHA API密鑰。這種標識符可以被解析出來，并在其他頁面上被搜索到。

他們解釋說："我們看到許多惡意攻擊活動會重復使用CAPTCHA服務密鑰，要么是為了簡化他們的惡意軟件基礎設施，要么是為了避免因創建過多的CAPTCHA賬戶和密鑰而被合法的reCAPTCHA供應商阻止。”

例如，根據該報告，在一個案例中，一個對微軟憑證進行竊取的網頁使用了與用于蘋果ID網絡釣魚的URL相同的密鑰。

研究人員總結說："大規模的網絡釣魚和灰色軟件活動目前已經變得非常復雜，它們會使用逃避技術來繞過自動安全爬蟲的檢測。幸運的是，當惡意行為者在其惡意網站的生態系統中使用基礎設施、服務或工具時，我們有機會利用這些指標來對付他們。CAPTCHA標識符是這種關聯檢測的一個很好的例子"。

本文翻譯自：https://threatpost.com/cyberattackers-captchas-phishing-malware/168684/