Microsoft Phishing Page使用Captcha绕过自动检测

 
使用验证码框在野外观察到一个新的网络钓鱼活动，以隐藏来自安全电子邮件网关(SEG)的虚假Microsoft帐户登录页面。
企业使用SEG来防范各种基于电子邮件的攻击。他们扫描所有内外消息，查找恶意内容，并至少保护其免受恶意软件和网络钓鱼威胁。
Captcha阻止自动扫描
Captchas是基于挑战的方法，用于确定用户是人还是机器人。其目的是防止滥用，通常在注册页面上找到，以防止自动注册操作。
具有讽刺意味的是，Cofense发现的网络钓鱼活动使用此类挑战来阻止自动URL分析处理危险页面。
“SEG无法继续扫描恶意页面，只扫描Captcha代码站点。该网页不包含任何恶意内容，从而导致SEG将其标记为安全并允许用户通过。” – Cofense
攻击者获取了Microsoft帐户的凭据，并创建了一个模仿原始选择帐户并登录的页面。
完成人工验证步骤后即可使用此功能。不用说，文本字段中输入的任何内容都会自动发送给攻击者。
根据研究人员的说法，提供网络钓鱼链接的电子邮件来自“avis.ne.jp”的受感染帐户，并假装是语音邮件通知。
一个承诺提供所谓通信预览的按钮嵌入在电子邮件中;单击时，它会将受害者带到具有验证码的页面。
研究人员表示，验证码和网络钓鱼页面都托管在微软基础架构上。因此，他们拥有合法的顶级域名，这可确保SEG在其URL分析过程中使用的域名信誉数据库不会产生负面反应。
曾经有创造力的网络犯罪分子找到了绕过安全控制的新方法，并在尝试通过人工检查时展示了社会工程技巧。
在过去的广告系列中，欺诈者使用QR码重定向到网络钓鱼页面，这种方法也在多种安全解决方案的雷达下飞行
另一项操作依赖于有关与目标共享的Google Docs文件的电子邮件通知。当用户试图打开文档时，他们会看到假的404错误以及在本地下载文件的指令。
为了使不同的基于电子邮件的骗局更加可信，威胁演员使用虚假的2FA代码通过假装来自Instagram的电子邮件发送。