【資安日報】5月31日,圖靈驗證CAPTCHA出現人工破解服務
https://www.ithome.com.tw/news/157143
為了防範駭客運用機器人來存取網頁服務,透過圖靈驗證機制CAPTCHA可說是相當常見的
做法,這樣的機制也從在圖片裡解讀文字內容,不斷增加難度來因應駭客透過自動化工具
進行破解的情況。但現在網路犯罪圈卻出現了截然不同的做法,他們將解讀CAPTCHA內容
的工作交由真實人類代打,完成後再交回駭客的機器人回應CAPTCHA挑戰,這樣的情況使
得圖靈驗證機制面臨更為嚴峻的挑戰。
鎖定企業而來的網路釣魚攻擊,不少都是針對財務部門與高層而來,但現在也有針對人資
部門而來的攻擊行動。有資安業者揭露假借申請休假名義而來的網釣攻擊,並指出這樣的
手法很有可能隨著許多人會在夏天放假出遊而變得更加頻繁。
數位部首度針對民間企業個資保護不力祭出處罰的情況,也值得留意。數位發展部數位發
展署針對蝦皮、誠品開罰,並指出他們在兩家公司查核的缺失。
【攻擊與威脅】
圖靈驗證CAPTCHA出現真人與機器人協作的服務,恐被濫用
為了驗證使用者是人類,許多網站透過圖靈驗證機制CAPTCHA來進行檢驗,但駭客也不斷
藉由各式手法來進行突破,從採用光學字元辨識(OCR),到後來透過機器學習自動解析
題目,然而現在駭客卻反其道而行,透過人類「客服」解析CAPTCHA的內容。
資安業者趨勢科技揭露網路犯罪圈出現的新興CAPTCHA破解服務,這樣的服務在客戶遇到
這類驗證流程時,提供破解服務的業者收到需求後,由人類解出答案再提供給客戶並完成
挑戰。
研究人員指出,駭客往往會透過API存取上述解題服務,進而讓整個攻擊流程自動化,他
們已看到這類服務被用於機器人在社交拍賣網站Poshmark搶標、低價搶購名為
Mukramami.Flowers的非同質化代幣(NFT)、賺取Crypto faucets網站的加密貨幣獎勵等
。