Menlo Labs發現使用驗證碼會導致網路釣魚攻擊

Menlo Security的iSOC（isolation-powered SOC service）發現針對飯店業的憑據認證出現網路釣魚活動。 Menlo Labs的研究人員決定更深入地研究該活動，果然發現許多有趣的現象。

攻擊者有兩種主要的策略來增加成功的可能性，並且他們竭盡全力實現這些目標：

1.使他們的網路釣魚攻擊行為看起來合法

2.防止安全研究人員和自動化工具檢測其基礎結構。

為了使網路釣魚攻擊看起來合法，攻擊者需要確保他們的電子郵件在正確的時間發送。藉由驗證碼憑證而形成網路釣魚登錄頁面看上去就像是他們試圖從中竊取憑據​​的網路媒體資源一樣。而電子郵件正文以假亂真，令人信服，足以讓使用者點擊連結。

所有這一切都需要創造力和認真的偵察技能，以確保更高的成功機率。攻擊者還需要確保安全研究人員或其他自動化系統不會識別其頁面/基礎結構。我們觀察到的技術是：如果使用者沒有從攻擊所針對的IP地址範圍中退出，則將頁面重導向到合法頁面。檢查使用者的地理位置是否與受害企業的地理位置匹配。

我們確定的網路釣魚攻擊行為試圖構成Microsoft Office 365頁面。微軟恰好是最容易受騙的品牌。這是許多企業越來越多地採用O365的結果，網路犯罪份子試圖利用合法帳戶在企業內部發起其他攻擊。

為了擊敗自動化系統並確保有人與該頁面進行交互作用，攻擊者將網路釣魚頁面置於視覺驗證碼的後面，因此使用者必須點擊正確的圖像以確保它們不是機器人。以下螢幕截圖顯示了攻擊流程。圖1明確要求使用者檢查他們不是機器人。這很常見，很多網站（例如LinkedIn和Google）也都是如此。這裡發生了兩件重要的事情。首先是使用者認為這是一個合法網站，因為固有的認知使他們相信這些檢查只會出現在合法的良性網站上。該策略要做的第二件事是擊敗試圖識別網路釣魚攻擊行為的自動化系統。

 

圖1

除了第一個檢查，攻擊者還設計了另外兩個驗證碼，以防第一個被自動化系統擊敗。 圖2顯示了出現的第二個驗證碼。 這種驗證碼技術要求人員選擇與自行車匹配的所有圖片塊，然後是圖3中的另一個驗證碼，要求人員識別與人行道匹配的所有圖片。 如果所有這些檢查都通過了，那麼該使用者將被帶到最終的登錄頁面，該頁面試圖竊取該使用者的O365登入資訊，如圖4所示。

但是應該注意的是攻擊者使用的驗證碼不同。在我們的測試中，至少遇到了四種不同的圖像。

圖2

圖3

圖4

網路釣魚是影響企業的最普遍的攻擊媒介。 這些攻擊利用了我們固有的認知偏見，並欺騙我們自動輸入登入的資訊。 這種偏見再加上攻擊者使用的策略，使這些攻擊得以成功。要了解有關電子郵件網路釣魚的更多信息，請下載Menlo的電子書：Protecting Against Email Threats.。