reCAPTCHA，一个可谓是在外网称霸验证码市场的存在，其作为09年被Google公司收购的验证码服务，能上谷歌的同学基本也都点过这玩意，方便快捷，通过改变了传统验证码需要输入n位失真字符的特点，只要亲亲一点，转一转，就可以验证成功。

▲大致体验如上图，可以看出，他希望你将本文转发出去

该应用程序在结合多方面因素考虑进行你是否为机器人的判断，其嵌在页面的JS会通过搜集一切与登录相关的信息，比如你的ip，你的点击行为，鼠标路径等等作为参考，并通过算法进行用户行为判断。

虽然有时候，你点击了很多次仍然无法识别，仍然认为你是机器人进行爆破或爬虫操作的时候，他还是会弹出传统的验证码，要求你点击选择。

而本起新型的网站钓鱼攻击，就与这个东西有关。

如下所示，下面是一封正常到不能再正常的钓鱼邮件，其将账户名伪装成由Voip2mail服务发送，而实际上是通过另一个邮箱账户发送的一种很平常的钓鱼手段。

这封电子邮件内容为，其称收件人此前错过了他的电话，现在让他点击按钮来收听完整的消息。而Voip作为网络电话的一种，使用邮件进行留言其实很常见，

而这个按钮实际上是一个内嵌的超链接，它将收件人重定向到一个含有验证码的页面，以证明受害者是一个人而不是一个自动分析工具，或者像验证码上面所说的那样，判定是否是一个。

这导致的结果便是，自动分析工具因为无法识别验证码，也就是被reCAPTCHA识别成了机器人，所以无法通过验证，也就无法跳转到真正的钓鱼网站，从而只能使得网站为安全网站，从而放行。

▲跳转的页面

完成人工验证过程后，收件人将被重定向到真正的网络钓鱼页面。本攻击中，它模仿Microsoft帐户选择页面和登录页面，从账户选择列表的邮箱可以看出，这起钓鱼具有针对性，因为其很有可能是知道目标的邮件后在进行针对性的钓鱼攻击。

当不知情的受害者登录时，他们的凭据将被捕获。

而从细节方面，Captcha验证应用程序页面和主要网络钓鱼页面都托管在MSFT基础架构上。这两个页面都是合法的Microsoft顶级域名，因此在针对域名信誉数据库对这些页面进行检查时，有时候因为域名在白名单中即使被检测出存在可疑性，但仍然可能会被放行且恢复安全。从本起攻击事件可知，针对钓鱼网站的检测同样需要查缺补漏。

因此，黑鸟给出的解决办法是，做一个真正意义的安全分析机器人，如下所示，从而实现真正的“机器分析”

随便一提，有这个绕过需求的小伙伴可以自行登陆官网，注册使用。当然，思路是可以变通的，针对国内的钓鱼网站可以采用极验等方式验证，本思路仅供参考，请勿用于违法途径。

相关文档

https://developers.google.com/recaptcha/docs/v3

测试demo见下：

https://www.google.com/recaptcha/api2/demo

此前被人分析的代码：

https://github.com/neuroradiology/InsideReCaptcha

参考链接：

https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/

上期必读

这个美国间谍原来是在俄罗斯驻华盛顿大使馆工作，后来被策反回国，黑鸟的文章里面提及了此人在2017年举国逃回美国的报道。

▲点击图片