网络犯罪分子设置了三种不同的验证码（CAPTCHA），Office 365 的目标必须单击这些验证码，然后才能进入最终的网络钓鱼页面。

研究人员警告说，正在进行的 Office365 凭据钓鱼攻击针对的是酒店行业，并且使用可视 CAPTCHA 避免检测并显得合法。

验证码 - 诸如 LinkedIn 和 Google 等网站通常使用的验证码是一种挑战 - 响应测试，用于确定用户是否为人类，例如单击显示特定对象的网格部分。网络犯罪分子以前曾利用验证码作为击败自动爬网系统，确保人员与网页互动并使网络钓鱼登陆页面合法的一种方法。

尽管在网络钓鱼攻击中使用验证码并不是突破性的，但这种攻击表明该技术有效 - 如此之大，以至于该活动的攻击者对目标使用了三种不同的 CAPTCHA 检查，最后将它们带到网络钓鱼登陆页面，即 Microsoft Office 365 登录页面。

    Menlo Security 的研究人员在本周的一篇文章中说：“这里发生了两件重要的事情。” “首先是让用户认为这是一个合法网站，因为他们的认知偏见使他们相信这些检查只会出现在良性网站上。此策略的第二件事是击败试图识别网络钓鱼攻击的自动爬网系统。”

Microsoft Office 365网络钓鱼攻击使用多个验证码

攻击期间出现的验证码之一。 Credit: Menlo Security

研究人员说，万一第一个被自动系统击败，CAPTCHA 可以作为备份。

在第一次 CAPTCHA 检查中，仅要求目标选中一个框，上面写着 “我不是机器人”。

之后，将它们带到第二个 CAPTCHA，这要求他们选择例如所有与自行车相匹配的图片块，然后是第三个 CAPTCHA，要求他们识别出与人行横道匹配的所有图片。攻击者也不使用相同的验证码 - 研究人员说，在测试过程中，他们至少发现了四张不同的图像。

最后，在通过所有这些检查之后，目标被带到最终的登录页面，该页面模拟了 Office 365 登录页面，以试图窃取受害者的凭据。


Office 365 网络钓鱼登录页面。 Credit: Menlo Security

如上所述，网络犯罪分子依靠以前利用 CAPTCHA 系统显得合法的网络钓鱼攻击。例如，五月网络钓鱼攻击伪装成发送传票，但实际上是在窃取用户的 Office 365 凭据。并且，在 2019 年，发现了一个网络钓鱼骗局，利用伪造的 Google reCAPTCHA 系统掩盖其恶意登陆页面，兜售恶意软件。

研究人员说，这种攻击表明网络犯罪分子在网络钓鱼和基于电子邮件的攻击方面继续改变其策略。确实，就在过去一周内，研究人员警告过创新的网络钓鱼技术，例如利用 OAuth2 或其他基于令牌的授权方法，或假装为 Windows 7 升级的网络钓鱼电子邮件。

以上文章部分内容采集于网络，如有侵权请联系创一网客服处理，谢谢！