La menace d’hameçonnage utilise des CAPTCHA pour pirater des comptes
Trois conseils de Hikvision pour éviter de devenir victime des CAPTCHAS
Les cybercriminels utilisent l’hameçonnage CAPTCHA pour pirater des comptes, selon l'article du magazine SC, “Phishing pages leverage CAPTCHAs to fool users, evade detection.”
Les CAPTCHAS, également connus sous le nom de reCAPTCHAS, sont généralement utilisés sur des sites Internet légitimes pour vérifier qu'un visiteur est un humain et non un robot.
“Les utilisateurs se sont sans aucun doute familiarisés avec les CAPTCHAS grâce à l'utilisation régulière de l’Internet, de sorte qu'un CAPTCHA peut préserver l'illusion de normalité lorsque les utilisateurs cliquent sur les liens qui leur sont proposés dans les courriels d’hameçonnage.,” a déclaré le chercheur principal de KnowBe4, Eric Howes, dans l'article du magazine SC.
L'histoire offrait quelques suggestions pour identifier les CAPTCHAS frauduleux ou de l’hameçonnage pour éviter d'en devenir une victime. Il s'agissait notamment d'identifier :
• CAPTCHAS sur un fond de site Internet vierge, qui sont souvent suspects.
• CAPTCHAS sur un site Internet qui ne les utilisent généralement pas (c'est-à-dire les pages de connexion Microsoft).
Hikvision sur les exemples d’hameçonnage CAPTCHA
Le directeur principal de la cybersécurité de Hikvision, Chuck Davis, a couvert cette méthode de piratage dans un blogue récent, “Le directeur principal de la cybersécurité de Hikvision propose des exemples de piratage et menaces d’hameçonnage reCAPTCHA, plus 4 conseils pour éviter de devenir une victime de ces cyberattaques.” Cela devient un leurre lorsqu'une méthode valide provenant de sites légitimes est utilisée pour inciter les visiteurs à divulguer des informations.
“Cela signifie que si vous êtes amené à cliquer sur un lien ou à ouvrir une pièce jointe à partir d'un courriel d’hameçonnage, vous pourriez être confronté à un véritable défi reCAPTCHA qui vous oblige à cocher une case pour prouver que vous n'êtes pas un robot. Dans ce contexte, un ‘‘robot’’ ou un ‘‘bot’’ est un programme automatisé qui parcourt Internet pour chercher des données sur des sites, créer de faux comptes ou publier de fausses critiques. Lorsque vous cliquez sur cette case et réussissez le test reCAPTCHA, vous êtes renvoyé vers la page d’hameçonnage malveillante. Tout en cliquant sur cette case est un test facile pour les humains, les outils de cybersécurité automatisés qui vérifient les liens dans notre courrier électronique fonctionnent un peu comme les robots malveillants et sont incapables de dépasser ce reCAPTCHA pour déterminer si la page a un contenu suspect ou malveillant.,” explique M. Davis, dans l’article Hikvision.
Trois conseils pour éviter d'être victime de cette escroquerie CAPTCHA
- Suivez les conseils de détection d’hameçonnage standard.
- Ne baissez pas votre garde quand vous voyez quelque chose qui semble crédible, comme un reCAPTCHA.
- Utilisez un gestionnaire de mots de passe et activez le remplissage automatique de votre nom d'utilisateur et votre mot de passe. Si vous êtes sur un site d’hameçonnage, il ne remplira pas vos informations d'identification dans un domaine non reconnu, par exemple microsoft.com contre Microsoft.com.