微軟CAPTCHA認證系統再遭垃圾郵件攻陷

微軟最新版CAPTCHA認證系統再度遭到垃圾郵件滲透,使得微軟捍衛Live Hotmail之戰再敗一役。 根據安全公司Websense的分析,新演進的垃圾郵件手法成功突破CAPTCHA,使得攻擊招術更上一層樓。

微軟最新版CAPTCHA認證系統再度遭到垃圾郵件滲透,使得微軟捍衛Live Hotmail之戰再敗一役。

根據安全公司Websense的分析,新演進的垃圾郵件手法成功突破CAPTCHA(Completely Automated Public Turing test to tell Computers and Human Apart),使得攻擊招術更上一層樓。

新的攻擊如同上一波CAPTCHA攻擊,是利用傀儡程式控制的PC來填寫Hotmail註冊認證要求的主要欄位,如使用者名稱、密碼及國家等。Hotmail呈現的CAPTCHA圖形之後會傳到遠端伺服器進行形象解碼,再傳到用戶端,以假冒帳號進行登入。

上個月微軟才變更CAPTCHA,阻擋了前一波攻擊,不到一個月時間又破功。此類攻擊在2008年令微軟頭痛不已。

Websense分析,這項手法每嘗試5到8次就會成功一次,即成功機率約為12%-20%,如果駭客假冒的帳號夠多,收到的「成果」自然提高。每台機器每次破解CAPTCHA據說只需20-25秒。

由於Hotmail網域被反垃圾郵件及過濾服務視為可信賴的郵件來源,因此CAPTCHA破解使Hotmail被入侵將嚴重削弱垃圾郵件的防禦工程。

本波攻擊的「創新」在於,傀儡電腦與遠端主機使用加密通道來通訊,這使得防禦及偵測更加困難。

微軟對此類攻擊的因應之道是不斷改變CAPTCHA的演算法。不過駭客的破解工具往往不久後就能趕上。

「從過往經驗來看,任何系統都可能遭到垃圾郵件攻擊。受到金錢利益驅使,他們的手法也愈來愈高明。」Websense歐洲威脅中心研究經理Carl Leonard指出。

另一項改變是,破解CAPTCHA的自動化工具正透過許多服務供應商如Google及Yahoo廣為散佈。許多假冒網站利用假造的郵件帳號,企圖突破防護部落格帳號的CAPTCHA。專家曾建議利用新方法來取代CAPTCHA,像是3D圖片就無法被現行技術破解。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416