Browsing: Captcha

    相信對於有建立網站提供對外服務的公司來說,如何強化網站的防護一直都是重要的課題,除了基本的防火牆、定期更新和維護、安全漏洞掃描,有些公司也會額外採購 WAF(Web Application Firewall),以強化網站在 SQL injection,XSS 攻擊的額外保護。 但是如果要防止爬蟲或是使用機器人與自動化程式進行的惡意行為,就需要使用人機辨識對連線來源作區分,分辨合理連線,並只允許合法使用者進行操作。 在網站上使用的人機辨識為 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart),中文翻譯為「全自動區分計算機與人類的圖靈測試」,…

    一句到尾,釣魚攻擊嘅方法雖然萬變不離其中,不過,引人上吊嘅餌就好有彈性,而且仲好貼市況添。例如早排新冠疫情爆發,黑客就利用疫情資訊增加收件人開附件或點擊連結嘅機會;WFH 令視像會議使用量大增,釣魚電郵嘅主題就變成 Zoom 之類嘅會議邀請。而最新嘅釣魚電郵主題,就輪到視像娛樂服務供應商 Netflix 喇。 Armorblox 網絡安全研究員指出,最近利用 Netflix 為主題嘅釣魚電郵數量大增,黑客企圖令 Netflix 用家相信付款系統出咗問題,要更新信用卡資料。為咗避開傳統電郵防護工具,黑客今次就利用 Captcha 嚟增加可信度,令防護工具誤以為電郵內附連結只係跳去一個合法嘅 Captcha 反機械人驗證版面,而唔將電郵歸類為惡意電郵。但事實上,經過驗證後再跳轉嘅網站,先至係假嘅 Netflix 登入頁面。呃完防護工具,黑客亦精心打造咗一個同 Netflix 一模一樣嘅頁面,雖然專家話頁面上所有連結最終都係跳去信用卡資料更新版面,但用家可能無咁細心,結果就親手將信用卡資料交俾黑客。…

    可能你未必留意到 reCaptcha 係啲乜嚟,但你絕對有用過呢項人類驗證功能。當你去到某啲網站嘅時候,為咗證明你唔係機械人,就首先要通過點選 reCaptcha 驗證 box 入面嘅圖案,例如有幾多格有交通燈、貓,答中咗先可以去到指定網站或開始網購。而雲端安全解決方案供應商 Barracuda 最近就發表報告,多咗黑客利用真嘅 reCaptcha API 嚟提升釣魚攻擊嘅可信性,特別係搏取安全防護系統嘅信任添! 先交代下 reCaptcha 呢項功能先,其實佢早喺 2003 年已被提出,不過當時只係叫 Captcha。後來團隊諗到用呢項功能行善,就係借助網民力量提升 OCR 光學掃描技術嘅準確度,於是計劃先變成…