【资安日报】5月31日,图灵验证CAPTCHA出现人工破解服务
https://www.ithome.com.tw/news/157143
为了防范骇客运用机器人来存取网页服务,透过图灵验证机制CAPTCHA可说是相当常见的
做法,这样的机制也从在图片里解读文字内容,不断增加难度来因应骇客透过自动化工具
进行破解的情况。但现在网络犯罪圈却出现了截然不同的做法,他们将解读CAPTCHA内容
的工作交由真实人类代打,完成后再交回骇客的机器人回应CAPTCHA挑战,这样的情况使
得图灵验证机制面临更为严峻的挑战。
锁定企业而来的网络钓鱼攻击,不少都是针对财务部门与高层而来,但现在也有针对人资
部门而来的攻击行动。有资安业者揭露假借申请休假名义而来的网钓攻击,并指出这样的
手法很有可能随着许多人会在夏天放假出游而变得更加频繁。
数位部首度针对民间企业个资保护不力祭出处罚的情况,也值得留意。数位发展部数位发
展署针对虾皮、诚品开罚,并指出他们在两家公司查核的缺失。
【攻击与威胁】
图灵验证CAPTCHA出现真人与机器人协作的服务,恐被滥用
为了验证使用者是人类,许多网站透过图灵验证机制CAPTCHA来进行检验,但骇客也不断
借由各式手法来进行突破,从采用光学字符辨识(OCR),到后来透过机器学习自动解析
题目,然而现在骇客却反其道而行,透过人类“客服”解析CAPTCHA的内容。
资安业者趋势科技揭露网络犯罪圈出现的新兴CAPTCHA破解服务,这样的服务在客户遇到
这类验证流程时,提供破解服务的业者收到需求后,由人类解出答案再提供给客户并完成
挑战。
研究人员指出,骇客往往会透过API存取上述解题服务,进而让整个攻击流程自动化,他
们已看到这类服务被用于机器人在社交拍卖网站Poshmark抢标、低价抢购名为
Mukramami.Flowers的非同质化代币(NFT)、赚取Crypto faucets网站的加密货币奖励等
。