木馬利用脫衣舞孃破解識別碼
Web威脅又添一樁,這次是為了破解網站影像識別碼。為了防止利用機器人(Bot)自動傳送垃圾資訊或進行註冊,許多的部落格或是入口網站,要求輸入識別碼,這種機制稱為 CAPTCHA (CompletelyAutomated Public Turing,全自動化杜林測試人機辨識機制),可用於辨別電腦與人類。這類系統通常會要求使用者輸入影像中所含的一連串英數字元以確認他是人類,因為機器通常無法讀取這類影像,因此能防止利用機器人程式自動傳送資訊或進行註冊。然而,有些人不斷專研各種能破解 CAPTCHA 的方法,現日前趨勢科技發現一隻
TROJ_CAPTCHAR.A 木馬病毒借用脫衣舞孃遊戲為引誘點,大肆將蒐集到的驗證碼成立破解資料庫,藉以在部落格自動垃圾留言、進入聊天室,或是自動註冊 Email 帳號,以利散發垃圾郵件。
趨勢科技表示 TROJ_CAPTCHAR.A 脫衣舞孃遊戲穿著清涼的 "Melissa"會在你面前寬衣解帶。不過,若要她展現曼妙的身材,使用者必須辨識出 CAPTCHA 中所隱藏的字母。只要每次輸入正確的字母,再按下"go","Melissa" 就會逐次脫下一件衣物,讓你大飽眼福。趨勢科技表示上述案例中的 CAPTCHA 是取自於 Yahoo!網站,顯示出或許有人正在收集大量 Yahoo! 帳戶。
使用者輸入的「答案」會被傳送至遠端伺服器,惡意使用者在此殷切等待著這些資料。這個脫衣舞孃遊戲事實上是狡猾的惡意程式為辨識及輸入合法網站上的 CAPTCHA 圖片文字而想出的詭計,將不知情的使用者當作上述圖片文字的解碼工具。
趨勢科技產品行銷經理朱芳薇指出:「上網時就算瀏覽的是正常的網頁都可能暗藏惡意程式,網友們很容易在不知不覺中就讓隱私外洩,而這大意的舉動正是目前造成個人網路資產遭竊的主因!此新型態的『網頁威脅』攻擊手法,已成為網友上網的最大安全隱憂!」
