Web 威脅又添一樁,這次是為了破解網站影像識別碼。為了防止利用機器人( Bot)自動傳送垃圾資訊或進行註冊,許多的部落格或是入口網站,要求輸入識別碼,這種機制稱為CAPTCHA (Completely Automated Public Turing,全自動化杜林測試人機辨識機制) ,可用於辨別電腦與人類。這類系統通常會要求使用者輸入影像中所含的一連串英數字元以確認他是人類,因為機器通常無法讀取這類影像,因此能防止利用機器人 程式自動傳送資訊或進行註冊。然而,有些人不斷專研各種能破解 CAPTCHA 的方法,現日前趨勢科技發現一隻TROJ_CAPTCHAR.A木馬病毒借用脫衣舞孃遊戲為引誘點,大肆將蒐集到的驗證碼成立破解資料庫,藉以在部落格自 動垃圾留言、進入聊天室,或是自動註冊 Email 帳號,以利散發垃圾郵件。
趨勢科技表示TROJ_CAPTCHAR.A脫衣舞孃遊戲穿著清涼的 "Melissa" 會在你面前寬衣解帶。不過,若要她展現曼妙的身材,使用者必須辨識出CAPTCHA 中所隱藏的字母。只要每次輸入正確的字母,再按下 "go","Melissa" 就會逐次脫下一件衣物,讓你大飽眼福。趨勢科技表示上述案例中的 CAPTCHA 是取自於 Yahoo! 網站,顯示出或許有人正在收集大量 Yahoo! 帳戶。
以下是關於”Mellisa”的自我介紹:
Hi!
My name is melissa. I’m 18 years old and you have come to the
right place to play
一旦啟動 start play 按鈕, 木馬會再顯現另一張養眼圖片,並出現以下訊息: Ok, lets start baby! Lets see if you can strip me .
Put the word that you see on bottom, if its correct I’ll
take off 1 of my xxx
如果輸入錯誤,則會顯示以下要求重新輸入的訊息:
Hmmm, nope, the word you entered is
incorrect honey! Lets try again?
請見以上的螢幕畫面擷取圖:
然而,使用者輸入的「答案」會被傳送至遠端伺服器,惡意使用者在此殷切等待著這些資料。這個脫衣舞孃遊戲事實上是狡猾的惡意程式為辨識及輸入合法網站上的 CAPTCHA 圖片文字而想出的詭計,將不知情的使用者當作上述圖片文字的解碼工具。
趨勢科技產品行銷經理朱芳薇指出:「上網時就算瀏覽的是正常的網頁都可能暗藏惡意程式,網友們很容易在不知不覺中就讓隱私外洩,而這大意的舉動正是目前造 成個人網路資產遭竊的主因!此新型態的『網頁威脅』攻擊手法,已成為網友上網的最大安全隱憂,為能有效保護網友免於遭受各式網路犯罪行為的攻擊而導致網路 資產遭竊,趨勢科技PC-cillin Internet Security 2008結合旗下全新的防禦概念與技術,讓網友不用擔心誤觸全球難以計數的問題網頁,有效將病毒與惡意程式與自身相隔離!」
發表文章
沒有留言:
張貼留言