小心！網路釣魚郵件仿冒Google的reCAPTCHA驗證系統

Google reCAPTCHA圖片驗證系統常常在不少網站看到，但是…最近資安公司Sucuri 卻發現了網路釣魚攻擊，不只會偽造Google reCAPTCHA圖片驗證系統誘騙使用者上當，還會下載惡意檔案，進而取得使用者的銀行帳號憑證。

這起網路釣魚攻擊事件是 2016 年曾出現的BankBot金融木馬程式，這次被發現是它偽裝成波蘭銀行的通知信，裡面顯示一筆未經過同意的交易要求使用者點擊信件裡的連結確認，而這個連結已經被嵌入惡意 PHP 檔案。

若點擊照釣魚信件的連結時，會先進入一個 404 錯誤頁面，再出現一個Google的reCAPTCHA圖片系統要求使用者驗證，當然這一切都是假的，目的都只是要讓整個詐騙過程真實性更高，讓使用者誤以為是真的。

在驗證之後，惡意程式會偵測使用者的系統，若是Android 手機會下載.apk檔案，如果是Windows…等系統則是會下載.zip檔案，恐怖的是Android系統下載了.apk檔案之後，會暗自攔截來自簡訊的雙步驟認證碼，藉此取得使用者銀行帳號憑證。

想要避免網路釣魚攻擊，使用者必須注意別隨意點擊來路不明的連結；而對於網站管理員來說，則是要小心這些網路釣魚攻擊使用的惡意目錄會被上傳到已經被入侵的網站，管理員在移除惡意程式時，可別忘了一併移除相關的檔案與資料庫，才不會被資安防毒軟體當作惡意網站而封鎖了。

圖片及資料來源：threatpost、sucuri

《原文刊登於合作媒體三嘻行動哇，聯合新聞網獲授權轉載。》