עוקף פרוקסי: האקרים מחביאים קישורים בתוך CAPTCHA
חידות CAPTCHA, כגון reCAPTCHA של גוגל, יכולות לשמש כחסימה עבור סורקי דומיינים מכיוון שהמסננים אינם יכולים לפתור את החידות
bigstock
לפושעים והאקרים ברשת נמאס מהניסיונות של מוצרי הגנה לחסום גישה לאתרים זדוניים באמצעות שרתי פרוקסי שמנהלים רשימות לבנות ושחורות והם מצאו פתרון - להחביא את הקישור בתוך מבחן אתגר מענה (CAPTCHA). בצורה כזו, המשתמש פותר את המבחן ומופנה אוטומטית לאתר הזדוני.
״החל מפברואר 2022, חוקרי Avanan מצאו דרכים חדשות שבהן האקרים משתמשים בטפסי CAPTCHA, ובמקרה זה מנצלים דומיין נפוץ של אוניברסיטה, מה שמעניק לו לגיטימציה. בתמצית ההתקפה הזו, Avanan ינתח כיצד שחקני איומים משתמשים ב-CAPTCHA כדי לגנוב אישורים״, כותבים בפרסום של avanan.
חידות CAPTCHA, כגון reCAPTCHA של גוגל, יכולות לשמש כחסימה עבור סורקי דומיינים מכיוון שהמסננים אינם יכולים לפתור את החידות. כאשר משתמש פותר CAPTCHA, הדפדפן יכול להיות מופנה למקום אחר. כולל דומיין זדוני.
אם מסנן לא יכול לפצח את החידה, הוא לא יכול לגלות לאן המשתמש יילקח בסופו של דבר, ואינו מסוגל לקבל החלטה אם לסנן את הגלישה. אפשר כברירת מחדל לחסום כל מה שמעורב ב-CAPTCHA, אבל אז זה עלול לקום קול צעקה מצד מצד המשתמשים.
לדוגמה, מישהו יכול לקבל דוא״ל עם קובץ HTML מצורף שכאשר הוא פותח, מפנה את המשתמש ל-CAPTCHA, שאם נפתר, בסופו של דבר מעביר אותו לעמוד דיוג שנראה כמו מסך התחברות של אתר חוקי. אך למעשה אוסף את כל האישורים שהוכנסו. הסורק, במקרה זה, יעצר ב-CAPTCHA.
חידות CAPTCHA, כגון reCAPTCHA של גוגל, יכולות לשמש כחסימה עבור סורקי דומיינים מכיוון שהמסננים אינם יכולים לפתור את החידות
bigstock
לפושעים והאקרים ברשת נמאס מהניסיונות של מוצרי הגנה לחסום גישה לאתרים זדוניים באמצעות שרתי פרוקסי שמנהלים רשימות לבנות ושחורות והם מצאו פתרון - להחביא את הקישור בתוך מבחן אתגר מענה (CAPTCHA). בצורה כזו, המשתמש פותר את המבחן ומופנה אוטומטית לאתר הזדוני.
״החל מפברואר 2022, חוקרי Avanan מצאו דרכים חדשות שבהן האקרים משתמשים בטפסי CAPTCHA, ובמקרה זה מנצלים דומיין נפוץ של אוניברסיטה, מה שמעניק לו לגיטימציה. בתמצית ההתקפה הזו, Avanan ינתח כיצד שחקני איומים משתמשים ב-CAPTCHA כדי לגנוב אישורים״, כותבים בפרסום של avanan.
חידות CAPTCHA, כגון reCAPTCHA של גוגל, יכולות לשמש כחסימה עבור סורקי דומיינים מכיוון שהמסננים אינם יכולים לפתור את החידות. כאשר משתמש פותר CAPTCHA, הדפדפן יכול להיות מופנה למקום אחר. כולל דומיין זדוני.
אם מסנן לא יכול לפצח את החידה, הוא לא יכול לגלות לאן המשתמש יילקח בסופו של דבר, ואינו מסוגל לקבל החלטה אם לסנן את הגלישה. אפשר כברירת מחדל לחסום כל מה שמעורב ב-CAPTCHA, אבל אז זה עלול לקום קול צעקה מצד מצד המשתמשים.
לדוגמה, מישהו יכול לקבל דוא״ל עם קובץ HTML מצורף שכאשר הוא פותח, מפנה את המשתמש ל-CAPTCHA, שאם נפתר, בסופו של דבר מעביר אותו לעמוד דיוג שנראה כמו מסך התחברות של אתר חוקי. אך למעשה אוסף את כל האישורים שהוכנסו. הסורק, במקרה זה, יעצר ב-CAPTCHA.
