上一季用假Google reCAPTCHA骗取微软帐密的网钓攻击，大量锁定高权限使用者

钓鱼信件以假乱真手法日益精进，研究人员发现钓鱼信件使用假的Google reCAPTCHA取信用户，以骗取用户的微软帐密资讯。

安全厂商Zscaler的ThreatLabZ实验室在3个月内拦截到2,500多封的钓鱼信件，信件对象是不同公司、组织的高阶员工。这些恶意信件特征是显示来自公司自动化邮件系统，告知收件者有语音邮件附档、HTML、或PDF档，为了读取或收听附档内容，用户必须输入微软帐密。

这些信件的目的和一般钓鱼信件没什么不同，最大的特色是当用户点击上述附档后出现Google reCAPTCHA视窗，再将用户引导向一个看似微软账号的输入对话框。Google reCAPTCHA是一种验证技术，主要用于网站分辨存取来源是真人还是网页爬虫机器人（bot）。但在这波钓鱼邮件中，Google reCAPTCHA却被用作提升邮件可信度的工具。

事实上，在用户点选语音邮件或HTML附档时，其实已经导向分别代管于.xyz、.club和.online的假Google reCAPTCHA钓鱼网站上。若用户输入微软帐密，他们可能还是会收到语音档、PDF档或显示验证完成的讯息，不过这些都是避免起疑的障眼法。用户的Office 365或其他微软服务登入资讯已落入骇客手中。

另外，研究人员指出，钓鱼邮件使用Google reCAPTCHA的手法已经运用多年，但利用Google reCAPTCHA骗取跨多个产业的主管，则是去年12月才观察到的现象。分析2,500多封钓鱼邮件，以银行(22%)和IT业(20%)占最大宗。而被锁定的高阶主管则以副总裁(34%)、常务董事(21%)等最多。