Wie Betrüger Bots verwenden, um CAPTCHAs auf Ihrer Website zu umgehen

Für Angreifer, die auf Ihre Website zugreifen möchten, ist ein grundlegender Sicherheitstest namens CAPTCHA eine hervorragende Verteidigungslinie. Seit seiner Gründung im Jahr 2000 ist es immer ausgefeilter geworden, wenn es darum geht, fortschrittliche Bots abzufangen und Websites sicher zu halten.

Aber wir stehen möglicherweise am Ende einer Ära, denn laut Untersuchungen wird die Hälfte aller CAPTCHAs von Bots ausgefüllt, nicht von echten Benutzern. Das bedeutet, dass die Angreifer, die die Bots kontrollieren, alles tun können, vom Hinterlassen von Spam-Kommentaren und dem Senden ungültiger Formulare bis hin zum Missbrauch anderer Dienste, die Ihre Website bereitstellt.

Vor diesem Hintergrund ist jetzt ein guter Zeitpunkt, um zu verstehen, wie CAPTCHA funktioniert, wie ein CAPTCHA-Löser es so einfach umgehen kann und was es für Ihre Website bedeutet.

Was genau ist CAPTCHA?

CAPTCHA ist ein beschreibendes Akronym und steht für Completely Automated Public Turing test to tell Computers and Humans Apart . Der CAPTCHA-Test ermöglicht menschlichen Benutzern den Zugriff auf eine Website, hält Bots jedoch fern. CAPTCHA schützt alles von Spam-Blog-Kommentaren bis hin zu nicht autorisierten Downloads.

Ein CAPTCHA-Test zeigt den Benutzern Bilder, die von Bots nicht gelesen werden können. Bei Buchstaben sind sie normalerweise unförmig, verwaschen oder mit viel Kauderwelsch vermischt, sodass nur echte Menschen sie interpretieren können. Bei Bildern gibt es eine Art Verzerrung, die es Bots erschwert, OCR zu verwenden.

Benutzer müssen das, was sie sehen, in das bereitgestellte Feld eingeben, und wenn sie richtig antworten, erhalten sie Zugriff auf den geschützten Webbereich. Einfache Bots geben unregelmäßige und unverständliche Buchstaben zurück oder klicken auf die falschen Bilder, wodurch deutlich wird, dass es sich nicht um Menschen handelt.

Fortgeschrittene Bots hingegen können eine Vielzahl von Strategien anwenden, um diese verzerrten Bilder zu lesen und den Test leicht zu umgehen. Aus diesem Grund wurden ausgeklügeltere CAPTCHAs wie reCAPTCHA von Google entwickelt, um die Website-Sicherheit zu erhöhen.

Arten von CAPTCHAs

CAPTCHA ist entweder textbasiert, bildbasiert oder tonbasiert, und die Chancen stehen gut, dass Sie allen dreien begegnet sind.

Text-CAPTCHAs

Dies sind die häufigsten und erfordern, dass Sie sich den verzerrten Text ansehen, um die wahre Botschaft zu identifizieren. Manchmal sind sie tatsächliche Welten, und manchmal sind sie einfach nur Kauderwelsch, verzerrt durch Form, Größe, Großschreibung oder Ausrichtung.

Wenn Sie genügend Text-CAPTCHAs nicht bestehen, erhalten Sie normalerweise eine Aufforderung, eine andere Überprüfungsmethode zu versuchen, z. B. ein CAPTCHA-Bild.

Bild-CAPTCHAs

Ein CAPTCHA-Bild kann ziemlich problematisch sein, wenn es nicht so aussieht, als gäbe es eine klare Antwort. Ein gutes Beispiel ist ein Bild, bei dem Sie alle Raster mit Ampeln auswählen müssen, obwohl die Ampel auf zwei Raster aufgeteilt ist.

Glücklicherweise können Sie jederzeit auf die Schaltfläche „Aktualisieren“ klicken, um ein anderes Bild ohne Konsequenzen zu erhalten. Oder Sie könnten das Audio-CAPTCHA ausprobieren.

Audio-CAPTCHA

Mit Audio-CAPTCHAs können Benutzer eine kurze Aufzeichnung anhören und das gehörte Wort eingeben. Diese sind effektiv, da Bots die Spracherkennung nicht verwenden können, um die ausgesprochenen Zeichen von den Hintergrundgeräuschen in der Aufnahme zu unterscheiden. Es mag für Menschen etwas unangenehm zu hören sein, aber Audio-CAPTCHAs sind sehr effektiv.

Google reCAPTCHA

Google reCAPTCHA ist eine erweiterte Version der CAPTCHA-Tests. Anstatt einfach zufällig einen Verifizierungstest zu generieren, analysiert es Ihr Mausmuster und entscheidet, welcher Test angezeigt wird.

Wenn das System Sie für einen Menschen hält, erhalten Sie ein einfaches „Ich bin kein Roboter“-Häkchen. CAPTCHA. Andernfalls müssen Sie einen schwierigeren Test absolvieren, z. B. alle Boote in einer Gruppe von Bildern anklicken.

Wie umgehen Hacker CAPTCHA?

Hacker haben es jetzt leichter, normale CAPTCHA-Herausforderungen zu umgehen, und hier sind einige der Strategien, die sie verwenden.

Künstliche Intelligenz (KI)

In seinem Buch Deep Learning for Computer Vision with Python legt Adrain Rosebrock seine Strategie zur Umgehung von CAPTCHA auf der Website E-ZPass New York dar. Sein Ansatz bestand darin, Hunderte von Beispielbildern herunterzuladen, um sein System zu trainieren, weil er keinen Zugriff auf den Quellcode hatte, und dann die erlernte KI auf dem System freizugeben.

CAPTCHAs mit Open-Source-Code sind theoretisch einfacher zu knacken, da Hacker die Quelle verwenden können, um ihr maschinelles Lernsystem zu trainieren, CAPTCHA-Tests unabhängig von der Schwierigkeit zu umgehen. Jeder kann die Prüfung bestehen, wenn Sie alle möglichen Fragen kennen.

Klicken Sie auf Farmen

Klickfarmen sind etwas weniger ausgefeilt als KI, aber sie erledigen die Arbeit trotzdem. In einer Klickfarm klicken unterbezahlte Arbeiter auf Websites, die versuchen, Sicherheitsmaßnahmen zu umgehen, die für Bots unmöglich sind. Während also ein CAPTCHA einen Bot überfordert, löst ein Mensch CAPTCHAs problemlos und in schneller Folge.

Es gibt auch Cyborg-Bots, das sind solche, die teilweise von Menschen für komplexe Prozesse wie die Eingabe von CAPTCHAs betrieben werden. Cyborgs sind oft in Klickfarmen oder Botfarmen angesiedelt, die oft nur von wenigen Menschen mit einer ganzen Wand vernetzter digitaler Geräte besetzt sind.

Schauen Sie sich unseren Blog an, um einen detaillierten Einblick in die Welt der Klickfarmen und auch Botfarmen zu erhalten.

CAPTCHA-Hacking-Strategien

Hack Tricks listet einige der Möglichkeiten auf, wie Hacker CAPTCHA einfach umgehen können. Einige von ihnen umfassen die Überprüfung des Quellcodes Ihrer Seite auf CAPTCHA-Lösungen (falls es sich um Text handelt) oder die Verwendung eines alten CAPTCHA-Werts, falls sie zweimal dieselbe Herausforderung erhalten.

Andere CAPTCHA-Umgehungsstrategien umfassen

• Verwenden von OCR, um die Zeichen auf dem Bildschirm zu lesen
• Überprüfen, wie viele Bilder verwendet werden, und Erkennen mit MD5
• Senden Sie den CAPTCHA-Parameter leer und sehen Sie, ob das den Zweck erfüllt.

CAPTCHA-Lösungsdienst

Hacker können auch einen CAPTCHA-Löserdienst verwenden, um Zugriff auf Ihre Website zu erhalten. Diese CAPTCHA-Lösungsanbieter verwenden eine Vielzahl von Ansätzen, die wir bereits aufgelistet haben, von KI über Klickfarmen bis hin zu einfachen API-Tools, die CAPTCHA-Tests unter bestimmten Umständen umgehen können.

Diese Dienste können über einfache Browsererweiterungen aufgerufen werden, sodass sie sofort funktionieren, wenn der Bot auf Ihre Website zugreift.

Sicherheitsfehler

Im Jahr 2018 fand ein Sicherheitsforscher einen Fehler, der es ihm ermöglichte, Googles reCAPTCHA zu umgehen. Das Wesentliche ist, dass Web-Apps, die reCAPTCHA verwenden, die Anfrage auf eine bestimmte Weise erstellen müssen, und manchmal ist die Anfrage unsicher. In diesem Fall konnten Angreifer das reCAPTCHA jedes Mal umgehen. (Andres Riancho)

Der Fehler wurde inzwischen behoben und es ist nicht mehr möglich, die reCAPTCHA-Umgehung neu zu erstellen. Dies ist jedoch ein hervorragendes Beispiel dafür, wie Angreifer Fehler und Schwachstellen ausnutzen können, um das CAPTCHA Ihrer Website zu umgehen.

Warum Google reCAPTCHA schwerer zu umgehen ist

Interessant ist, dass reCAPTCHA das Makroverhalten der Nutzer analysiert und die Challenges bei Bedarf anpasst. So werden beispielsweise die meisten Bots nie den „Ich bin kein Roboter“-Test bestehen, weil sie sich nicht wie ein Mensch mit Webseiten beschäftigen.

Selbst wenn sie auf die einfache Häkchen-Eingabeaufforderung stoßen, ist es nicht so einfach wie das Ankreuzen des Kästchens. Wenn dies der Fall wäre, könnten die Bots die Bilder auf dem Bildschirm abrufen, OCR verwenden und herausfinden, wo sie klicken müssen.

Diese Tests analysieren auch das Muster der Mausbewegung beim Klicken. Menschliche Mausbewegungen sind sehr klobig und ruckartig, und wenn das CAPTCHA das erkennt, lässt es Sie durch. Ein Roboter bewegt sich reibungsloser und löst einen härteren Test aus.

Was passiert, wenn Hacker Ihr CAPTCHA knacken?

Jeder unabhängige Hacker kann an Ihrem CAPTCHA vorbeikommen, indem er es einfach wie ein Mensch ausfüllt. Die Gefahr steigt, wenn sie Ihr CAPTCHA mit Bots umgehen können. Das bedeutet, dass sie Ihren Server mit vielen Anfragen bombardieren, Ihre Ressourcen überlasten oder möglicherweise Ihre Daten stehlen können.

Erhöhte Spam-Kommentare

Ohne einen effektiven CAPTCHA-„Gatekeeper“ können Sie mit Spam-Kommentaren rechnen, die alles von bösartigen Diensten auf anderen Websites bewerben. Wenn Ihre Website so eingestellt ist, dass Kommentare zuerst genehmigt werden, werden sie der Öffentlichkeit nicht angezeigt. Sie werden jedoch von Dutzenden oder sogar Hunderten von irrelevanten Kommentaren im Backend ertränkt.

Ungültige Analysedaten

Bots verzerren den Datenverkehr auf Ihrer Webseite und machen Ihre Analysedaten unbrauchbar. Wenn Hacker einen Weg finden, an Ihrem CAPTCHA vorbeizukommen, bemerken Sie möglicherweise eine Traffic-Spitze ohne Conversions oder stellen fest, dass Benutzer ihre Warenkörbe verlassen, und Sie werden nicht herausfinden können, warum.

Unsichere Einkaufskasse

Wenn Sie eine E-Commerce-Website besitzen, bedeutet ein umgangenes CAPTCHA, dass Hacker eine Reihe betrügerischer Aktivitäten ausführen können. Dies kann den Zugriff auf Benutzerkonten, das Tätigen von Einkäufen mit gestohlenen Karten (Carding) und sogar den Zugriff auf andere sensible Bereiche Ihrer Website wie Ihre Datenbank umfassen.

Weniger Webressourcen

Mit dem Zugriff auf Ihre Website bombardieren Bots Ihre Website, senden Verbindungsanfragen und verbrauchen endliche Ressourcen. Das bedeutet, dass legitime Benutzer einen verlangsamten oder gar keinen Zugriff auf Ihre Website haben, was Ihrem Unternehmen schaden kann. Statistiken zeigen, dass 53 % der Nutzer zu einem Mitbewerber wechseln, wenn das Laden Ihrer Website länger als 3 Sekunden dauert (digital).

Was können Sie tun, wenn CAPTCHA Bots umgeht?

Fügen Sie Ihrer Website reCAPTCHA hinzu

reCAPTCHA ist viel schwieriger zu umgehen als CAPTCHA, und es ist eine gute Idee, es zu Ihrer Website hinzuzufügen. Es ist kostenlos für die ersten 1 Million Bewertungen auf Ihrer Website pro Monat, einfach zu installieren und alles, was Sie tun müssen, ist sich für ein API-Schlüsselpaar für Ihre Website anzumelden.

Die spezifischen Anweisungen sind auf der entsprechenden Seite mit Anweisungen aufgeführt.

Bot-Zapping von ClickCease

Das Bot-Zapping von ClickCease fügt Ihrer Website eine zusätzliche Sicherheitsebene hinzu und verhindert, dass die häufigsten Formen des automatisierten Datenverkehrs auf Ihre Website zugreifen. Der Dienst scannt Ihre Besucheraktivität auf verräterische Anzeichen einer Bot-Präsenz und blockiert die Interaktion mit Ihrer Website.

Das heißt, selbst wenn sie Ihr CAPTCHA passieren, wird Bot Zapping sie identifizieren und von Ihrer Website entfernen, sodass nur echte Kunden durchkommen.

Das Endergebnis

Hacker-Taktiken werden immer ausgefeilter, da sie einfache Abwehrsysteme wie CAPTCHA besser umgehen können, aber glücklicherweise haben Sie auch Zugang zu fortgeschrittenen Maßnahmen.

Bot Zapping von ClickCease stellt sicher, dass diese automatisierten Programme keine Captchas umgehen oder mit Ihren Marketingkanälen oder Formularen herumspielen.

Testen Sie ClickCease 7 Tage lang kostenlos und sehen Sie, welchen Unterschied das Blockieren von automatisiertem Traffic auf Ihrer Website macht.