يحذر الباحثون من هجوم تصيد احتيالي لسرقة بيانات الاعتماد الخاصة بحسابات Office 365، حيث يستخدم القراصنة اختبارات CAPTCHA المرئية لتجنب الاكتشاف والظهور بشكل شرعي، قبل الوصول إلى صفحة التصيد النهائية.

تستخدم العديد من مواقع الويب مثل LinkedIn وGoogle اختبارات CAPTCHA الأمنية، وهي نوع من اختبارات التحدي والاستجابة المستعملة لتحديد ما إذا كان المستخدم بشرياً أم لا، مثل النقر على أجزاء الشبكة التي تحتوي على كائن معين مصور.

صحيح أن مجرمو الإنترنت قد استخدموا اختبارات CAPTCHA في السابق كطريقة للتغلب على أنظمة الزحف الآلية، والتأكد من تفاعل الإنسان مع الصفحة وجعل الصفحة المقصودة للتصيد الاحتيالي تبدو شرعية، إلا أن الهجوم الحالي يُظهر أن هذه التقنية الخبيثة ناجحة جداً لدرجة أن المهاجمين باتوا يستخدمون ثلاث عمليات تحقق CAPTCHA مختلفة على الأهداف، قبل إحضارهم أخيراً إلى الصفحة المقصودة للتصيد الاحتيالي، والتي تمثل صفحة تسجيل الدخول إلى Microsoft Office 365.

خطوات هجوم الاحتيال باستخدام CAPTCHA

وقال باحثون أمنيون من Menlo Security، في منشور هذا الأسبوع: “هناك شيئان مهمان يحدثان. الأول هو أنه تم جعل المستخدم يعتقد أن هذا هو الموقع الشرعي، لأن تحيزه المعرفي دربه على الاعتقاد بأن CAPTCHA تظهر فقط على مواقع الويب الحميدة. الشيء الثاني الذي تفعله هذه الإستراتيجية هو هزيمة أنظمة الزحف الآلية التي تحاول تحديد هجمات التصيد”.

وأوضح الباحثون أن اختبارات CAPTCHA المتعددة تعمل بمثابة نسخ احتياطية، في حالة هزيمة النظام الأول بواسطة أنظمة آلية. في الفحص الأول، يُطلب من الأهداف ببساطة تحديد المربع الذي يقول “أنا لست روبوت”.

بعد ذلك، يتم نقلهم إلى اختبار آخر يتطلب منهم تحديد جميع مربعات الصور التي تتطابق مع الدراجات على سبيل المثال، متبوعاً بكابتشا ثالثاً يطلب منهم تحديد جميع الصور التي تتطابق مع المشاة، على سبيل المثال. هذا ولا يستخدم المهاجمون أيضاً نفس الكابتشا.

وأخيراً، بعد اجتياز المستخدم لجميع عمليات التحقق أعلاه، يتم نقل الهدف إلى الصفحة المقصودة النهائية، والتي تنتحل شخصية صفحة تسجيل الدخول إلى Office 365، في محاولة لسرقة بيانات اعتماد الضحايا.

يظهر هذا الهجوم أن مجرمي الإنترنت يواصلون تغيير تكتيكاتهم عندما يتعلق الأمر بالتصيد الاحتيالي والهجمات القائمة على البريد الإلكتروني، في محاولة لشن هجمات تصيّد ناجحة.