新型机器对抗:设置验证码绕过钓鱼网站检测系统
reCAPTCHA,一个可谓是在外网称霸验证码市场的存在,其作为09年被Google公司收购的验证码服务,能上谷歌的同学基本也都点过这玩意,方便快捷,通过改变了传统验证码需要输入n位失真字符的特点,只要亲亲一点,转一转,就可以验证成功。
▲大致体验如上图,可以看出,他希望你将本文转发出去
该应用程序在结合多方面因素考虑进行你是否为机器人的判断,其嵌在页面的JS会通过搜集一切与登录相关的信息,比如你的ip,你的点击行为,鼠标路径等等作为参考,并通过算法进行用户行为判断。
虽然有时候,你点击了很多次仍然无法识别,仍然认为你是机器人进行爆破或爬虫操作的时候,他还是会弹出传统的验证码,要求你点击选择。
而本起新型的网站钓鱼攻击,就与这个东西有关。
如下所示,下面是一封正常到不能再正常的钓鱼邮件,其将账户名伪装成由Voip2mail服务发送,而实际上是通过另一个邮箱账户发送的一种很平常的钓鱼手段。
这封电子邮件内容为,其称收件人此前错过了他的电话,现在让他点击按钮来收听完整的消息。而Voip作为网络电话的一种,使用邮件进行留言其实很常见,
而这个按钮实际上是一个内嵌的超链接,它将收件人重定向到一个含有验证码的页面,以证明受害者是一个人而不是一个自动分析工具,或者像验证码上面所说的那样,判定是否是一个。
这导致的结果便是,自动分析工具因为无法识别验证码,也就是被reCAPTCHA识别成了机器人,所以无法通过验证,也就无法跳转到真正的钓鱼网站,从而只能使得网站为安全网站,从而放行。
▲跳转的页面
完成人工验证过程后,收件人将被重定向到真正的网络钓鱼页面。本攻击中,它模仿Microsoft帐户选择页面和登录页面,从账户选择列表的邮箱可以看出,这起钓鱼具有针对性,因为其很有可能是知道目标的邮件后在进行针对性的钓鱼攻击。
当不知情的受害者登录时,他们的凭据将被捕获。
而从细节方面,Captcha验证应用程序页面和主要网络钓鱼页面都托管在MSFT基础架构上。这两个页面都是合法的Microsoft顶级域名,因此在针对域名信誉数据库对这些页面进行检查时,有时候因为域名在白名单中即使被检测出存在可疑性,但仍然可能会被放行且恢复安全。从本起攻击事件可知,针对钓鱼网站的检测同样需要查缺补漏。
因此,黑鸟给出的解决办法是,做一个真正意义的安全分析机器人,如下所示,从而实现真正的“机器分析”
随便一提,有这个绕过需求的小伙伴可以自行登陆官网,注册使用。当然,思路是可以变通的,针对国内的钓鱼网站可以采用极验等方式验证,本思路仅供参考,请勿用于违法途径。
相关文档
https://developers.google.com/recaptcha/docs/v3
测试demo见下:
https://www.google.com/recaptcha/api2/demo
此前被人分析的代码:
https://github.com/neuroradiology/InsideReCaptcha
参考链接:
https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/
上期必读
这个美国间谍原来是在俄罗斯驻华盛顿大使馆工作,后来被策反回国,黑鸟的文章里面提及了此人在2017年举国逃回美国的报道。