1. 威客安全首页
  2. 安全资讯

新型机器对抗:设置验证码绕过钓鱼网站检测系统


reCAPTCHA,一个可谓是在外网称霸验证码市场的存在,其作为09年被Google公司收购的验证码服务,能上谷歌的同学基本也都点过这玩意,方便快捷,通过改变了传统验证码需要输入n位失真字符的特点,只要亲亲一点,转一转,就可以验证成功。

新型机器对抗:设置验证码绕过钓鱼网站检测系统

▲大致体验如上图,可以看出,他希望你将本文转发出去


该应用程序在结合多方面因素考虑进行你是否为机器人的判断,其嵌在页面的JS会通过搜集一切与登录相关的信息,比如你的ip,你的点击行为,鼠标路径等等作为参考,并通过算法进行用户行为判断。


虽然有时候,你点击了很多次仍然无法识别,仍然认为你是机器人进行爆破或爬虫操作的时候,他还是会弹出传统的验证码,要求你点击选择。

新型机器对抗:设置验证码绕过钓鱼网站检测系统


而本起新型的网站钓鱼攻击,就与这个东西有关。


如下所示,下面是一封正常到不能再正常的钓鱼邮件,其将账户名伪装成由Voip2mail服务发送,而实际上是通过另一个邮箱账户发送的一种很平常的钓鱼手段。


这封电子邮件内容为,其称收件人此前错过了他的电话,现在让他点击按钮来收听完整的消息。而Voip作为网络电话的一种,使用邮件进行留言其实很常见,


新型机器对抗:设置验证码绕过钓鱼网站检测系统


而这个按钮实际上是一个内嵌的超链接,它将收件人重定向到一个含有验证码的页面以证明受害者是一个人而不是一个自动分析工具,或者像验证码上面所说的那样,判定是否是一个。


这导致的结果便是,自动分析工具因为无法识别验证码,也就是被reCAPTCHA识别成了机器人,所以无法通过验证,也就无法跳转到真正的钓鱼网站,从而只能使得网站为安全网站,从而放行。

新型机器对抗:设置验证码绕过钓鱼网站检测系统

▲跳转的页面


完成人工验证过程后,收件人将被重定向到真正的网络钓鱼页面。本攻击中,它模仿Microsoft帐户选择页面和登录页面,从账户选择列表的邮箱可以看出,这起钓鱼具有针对性,因为其很有可能是知道目标的邮件后在进行针对性的钓鱼攻击。


当不知情的受害者登录时,他们的凭据将被捕获。

新型机器对抗:设置验证码绕过钓鱼网站检测系统


而从细节方面,Captcha验证应用程序页面和主要网络钓鱼页面都托管在MSFT基础架构上。这两个页面都是合法的Microsoft顶级域名,因此在针对域名信誉数据库对这些页面进行检查时,有时候因为域名在白名单中即使被检测出存在可疑性,但仍然可能会被放行且恢复安全。从本起攻击事件可知,针对钓鱼网站的检测同样需要查缺补漏。


因此,黑鸟给出的解决办法是,做一个真正意义的安全分析机器人,如下所示,从而实现真正的“机器分析”


随便一提,有这个绕过需求的小伙伴可以自行登陆官网,注册使用。当然,思路是可以变通的,针对国内的钓鱼网站可以采用极验等方式验证,本思路仅供参考,请勿用于违法途径。


新型机器对抗:设置验证码绕过钓鱼网站检测系统


相关文档

https://developers.google.com/recaptcha/docs/v3

测试demo见下:

https://www.google.com/recaptcha/api2/demo

此前被人分析的代码:

https://github.com/neuroradiology/InsideReCaptcha

参考链接:

https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/


上期必读


这个美国间谍原来是在俄罗斯驻华盛顿大使馆工作,后来被策反回国,黑鸟的文章里面提及了此人在2017年举国逃回美国的报道。

新型机器对抗:设置验证码绕过钓鱼网站检测系统

▲点击图片


新型机器对抗:设置验证码绕过钓鱼网站检测系统

离放假还有不到1天

原文始发于微信公众号(黑鸟):新型机器对抗:设置验证码绕过钓鱼网站检测系统

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X