网络钓鱼骗局利用伪造的 Google reCAPTCHA 系统窃取Office 365凭据

披着“人机验证”外衣的窃贼：reCAPTCHA如何沦为Office 365钓鱼帮凶

在数字化办公时代，Google reCAPTCHA（“我不是机器人”验证码）早已成为互联网安全的基石之一。然而，安全研究人员近期发现，攻击者正在将这一原本用于防御自动化攻击的合法工具，异化为窃取Office 365企业凭证的“信任增强器”。

在这场精心策划的骗局中，攻击者通常会发送一封伪装成“会议安排”、“面试邀请”或“系统安全警告”的邮件。邮件正文极具迷惑性，并附带一个指向伪造Calendly或Microsoft 365登录页的链接。当用户点击链接后，首先映入眼帘的并非直接索要密码的表单，而是一个极其逼真的reCAPTCHA验证框。

为什么攻击者要在钓鱼页面大费周章地嵌入验证码？这背后隐藏着极深的技术算计与心理学博弈。

首先，这是为了制造“合法性幻觉”。对于普通用户而言，看到熟悉的reCAPTCHA界面，潜意识里会将其与“正规、安全”画上等号。这种视觉暗示能有效瓦解用户的心理防线，让他们误以为接下来的登录流程是官方标准操作。

其次，这是为了对抗安全厂商的自动化检测。现代企业邮件网关和安全沙箱在分析可疑链接时，通常会模拟真实用户的行为。如果钓鱼页面没有设置人机验证，安全工具会轻易抓取到后续的恶意内容并将其拦截。而嵌入reCAPTCHA后，由于自动化爬虫无法通过验证，沙箱往往只能停留在验证页面，从而让真正的Office 365钓鱼表单得以在后台安全隐藏。

更致命的是，这种骗局往往伴随着“会话级劫持”与MFA（多因素认证）绕过技术。当用户通过验证并跳转到伪造的Office 365登录页时，他们输入的账号、密码乃至动态验证码，都会被攻击者利用反向代理工具（如Evilginx2）实时转发给真实的微软服务器。微软服务器验证通过后，会将包含会话信息的Cookie下发，而攻击者则在中间截获这些Cookie。

这意味着，攻击者根本不需要记住你的密码，他们只需要你“登录一次”，就能获取完整的会话控制权。即便企业强制开启了最严格的MFA验证，在这种“中间人”式的透明代理面前也形同虚设。

面对这种利用合法基础设施发起的“降维打击”，传统的“看网址”、“查证书”等防御手段已大打折扣。企业和个人必须升级防御策略：一方面，不要盲目信任网页上的任何验证码，应养成从浏览器收藏夹或官方入口访问核心办公系统的习惯；另一方面，企业IT部门应部署具备“行为分析”能力的新一代邮件网关，并全面启用基于FIDO2标准的无密码认证或硬件密钥，从根本上切断会话劫持的攻击链路。