• Homepage
  • Articoli
  • SEO
  • In che modo i truffatori utilizzano i bot per bypassare i CAPTCHA sul tuo sito

In che modo i truffatori utilizzano i bot per bypassare i CAPTCHA sul tuo sito

Pubblicato: 2022-09-19

Per gli aggressori che desiderano accedere al tuo sito Web, un test di sicurezza di base chiamato CAPTCHA è un'ottima linea di difesa. Dalla sua creazione nel 2000, è diventato sempre più sofisticato nel catturare i bot avanzati e nel mantenere i siti web al sicuro.

Ma potremmo essere alla fine di un'era perché secondo la ricerca la metà di tutti i CAPTCHA passati sono completati da bot, non da utenti reali. Ciò significa che gli aggressori che controllano i bot possono fare di tutto, dal lasciare commenti spam e inviare moduli non validi all'abuso di altri servizi forniti dal tuo sito web.

Alla luce di ciò, ora è un buon momento per capire come funziona CAPTCHA, come un risolutore CAPTCHA può bypassarlo così facilmente e cosa significa per il tuo sito web.

Che cos'è esattamente CAPTCHA?

CAPTCHA è un acronimo descrittivo e sta per Completely Automated Public Turing test to tell Computers and Humans Apart . Il test CAPTCHA consente agli utenti umani di accedere a un sito Web ma tiene fuori i robot. CAPTCHA protegge di tutto, dai commenti di spam sui blog ai download anche non autorizzati.

Un test CAPTCHA mostrerà agli utenti immagini illeggibili dai bot. Con le lettere, di solito sono deformi, sbiadite o confuse con molte parole senza senso, quindi solo i veri umani possono interpretarle. Con le immagini, c'è una sorta di distorsione che rende più difficile per i robot usare l'OCR.

Gli utenti devono inserire ciò che vedono nell'apposito campo e, se rispondono correttamente, ottengono l'accesso all'area web protetta. I robot semplici restituiranno lettere irregolari e incomprensibili o faranno clic sulle immagini sbagliate, rendendo evidente che non sono umani.

I bot avanzati, d'altra parte, possono utilizzare una varietà di strategie per leggere queste immagini distorte e aggirare facilmente il test. Di conseguenza, sono stati sviluppati CAPTCHA più sofisticati, come reCAPTCHA di Google, per aumentare la sicurezza del sito web.

Tipi di CAPTCHA

CAPTCHA è basato su testo, basato su immagini o basato su suoni e le probabilità sono che tu abbia incontrato tutti e tre.

CAPTCHA di testo

Questi sono i più comuni e richiedono di guardare il testo distorto per identificare il vero messaggio. A volte sono mondi reali e altre volte sono semplicemente senza senso, distorti da forma, dimensione, maiuscolo o orientamento.

Se non riesci a superare un numero sufficiente di CAPTCHA di testo, di solito ti viene chiesto di provare un metodo di verifica diverso, come un'immagine CAPTCHA.

Immagine CAPTCHA

Un'immagine CAPTCHA può essere piuttosto problematica quando non sembra che ci sia una risposta chiara. Un ottimo esempio è un'immagine in cui devi selezionare tutte le griglie con semafori, anche se la luce è divisa tra due griglie.

Fortunatamente, puoi sempre premere il pulsante di aggiornamento per ottenere un'altra immagine senza conseguenze. Oppure puoi provare il CAPTCHA audio.

CAPTCHA audio

Con i CAPTCHA audio, gli utenti possono ascoltare una breve registrazione e digitare la parola che sentono. Questi sono efficaci perché i bot non possono utilizzare il riconoscimento vocale per differenziare i caratteri pronunciati dal rumore di fondo nella registrazione. Potrebbe essere leggermente scomodo da ascoltare per gli esseri umani, ma i CAPTCHA audio sono piuttosto efficaci.

Google reCAPTCHA

Google reCAPTCHA è una versione più avanzata dei test CAPTCHA. Invece di generare semplicemente un test di verifica a caso, analizza il pattern del tuo mouse e decide quale test mostrare.

Se il sistema pensa che tu sia umano, otterrai un semplice segno di spunta CAPTCHA "Io" non sono un robot In caso contrario, dovrai completare un test più difficile come fare clic su tutte le barche in un gruppo di immagini.

In che modo gli hacker aggirano il CAPTCHA?

Gli hacker ora hanno più difficoltà a bypassare le normali sfide CAPTCHA, e qui ci sono alcune delle strategie che usano.

Intelligenza Artificiale (IA)

Nel suo libro, Deep Learning for Computer Vision with Python, Adrain Rosebrock espone la sua strategia per aggirare il CAPTCHA sul sito web E-ZPass di New York. Il suo approccio includeva il download di centinaia di immagini di esempio per addestrare il suo sistema perché non aveva accesso al codice sorgente e quindi il rilascio dell'IA appresa sul sistema.

I CAPTCHA con un codice open source sono, in teoria, più facili da decifrare perché gli hacker possono utilizzare la fonte per addestrare il loro sistema di apprendimento automatico a bypassare i test CAPTCHA, indipendentemente dalla difficoltà. Chiunque può superare l'esame se conosci tutte le possibili domande.

Fare clic su fattorie

Le click farm sono un po' meno sofisticate dell'IA, ma svolgono il loro lavoro lo stesso. In una click farm, i lavoratori sottopagati fanno clic su siti Web cercando di aggirare misure di sicurezza impossibili per i bot. Quindi, mentre un CAPTCHA può bloccare un bot, un essere umano risolverà i CAPTCHA senza difficoltà e in rapida successione.

Ci sono anche cyborg bot, che sono quelli gestiti in parte da esseri umani per processi complessi come l'ingresso di CAPTCHA. I cyborg hanno spesso sede in click farm o bot farm, spesso gestiti da pochi umani con un intero muro di dispositivi digitali collegati.

Dai un'occhiata al nostro blog per uno sguardo approfondito al mondo delle click farm e anche alle bot farm.

Strategie di hacking CAPTCHA

Hack Tricks elenca alcuni dei modi in cui gli hacker aggirano facilmente il CAPTCHA. Alcuni di questi includono il controllo del codice sorgente della tua pagina per le soluzioni CAPTCHA (nel caso in cui sia testo) o l'utilizzo di un vecchio valore CAPTCHA nel caso in cui ricevano la stessa sfida due volte.

Altre strategie di bypass del CAPTCHA includono

  • Utilizzo dell'OCR per leggere i caratteri sullo schermo
  • Controllare quante immagini vengono utilizzate e rilevarle con MD5
  • Inviare il parametro CAPTCHA vuoto e vedere se funziona.

Servizio di risoluzione CAPTCHA

Gli hacker possono anche utilizzare un servizio di risoluzione CAPTCHA per accedere al tuo sito. Questi fornitori di soluzioni CAPTCHA utilizzano una varietà di approcci che abbiamo già elencato, dall'IA alle click farm e persino semplici strumenti API che possono bypassare i test CAPTCHA in circostanze specifiche.

Questi servizi possono essere chiamati tramite semplici estensioni del browser in modo che entrino in funzione immediatamente il bot accede al tuo sito.

Bug di sicurezza

Nel 2018, un ricercatore di sicurezza ha trovato un bug che gli ha permesso di aggirare il reCAPTCHA di Google. L'essenza di base è che le app Web che utilizzano reCAPTCHA devono creare la richiesta in un modo specifico e, a volte, la richiesta non è sicura. Quando ciò accadeva, gli aggressori potevano bypassare il reCAPTCHA ogni singola volta. (Andrés Riancho)

Da allora il bug è stato corretto e non è più possibile ricreare il bypass reCAPTCHA. Tuttavia, questo è un ottimo esempio di come gli aggressori possono sfruttare bug e punti deboli per aggirare il CAPTCHA del tuo sito.

Perché Google reCAPTCHA è più difficile da aggirare

La cosa interessante è che reCAPTCHA analizza il comportamento delle macro degli utenti e adatta le sfide secondo necessità. Quindi, ad esempio, la maggior parte dei robot non otterrà mai il test "Non sono un robot" perché non interagiscono con le pagine Web come fa un essere umano.

Anche quando incontrano il semplice segno di spunta, non è così semplice come spuntare la casella. Se lo fosse, i bot potrebbero catturare le immagini sullo schermo, utilizzare l'OCR e scoprire dove fare clic.

Questi test analizzano anche il modello di movimento del mouse quando si fa clic. I movimenti del mouse umano sono molto goffi e a scatti e quando il CAPTCHA lo rileva, ti lascia passare. Un robot si muoverà più agevolmente e attiverà un test più difficile.

Cosa succede quando gli hacker decidono di violare il tuo CAPTCHA?

Qualsiasi hacker indipendente può superare il tuo CAPTCHA semplicemente riempiendolo come farebbe un essere umano. Il pericolo aumenta quando sono in grado di aggirare il tuo CAPTCHA con i bot. Ciò significa che possono bombardare il tuo server con molte richieste, sovraccaricare le tue risorse o, eventualmente, rubare i tuoi dati.

Aumento dei commenti spam

Senza un efficace "gatekeeper" CAPTCHA, puoi aspettarti commenti spam che pubblicizzano qualsiasi cosa, dai servizi dannosi ad altri siti Web. Se il tuo sito web è impostato per approvare prima i commenti, questi non verranno visualizzati al pubblico in generale. Tuttavia, sarai affogato da dozzine o addirittura centinaia di commenti irrilevanti sul back-end.

Dati analitici non validi

I bot distorceranno il traffico sulla tua pagina web e renderanno inutili i tuoi dati analitici. Se gli hacker trovano un modo per superare il tuo CAPTCHA, potresti notare un picco di traffico con zero conversioni o scoprire che gli utenti stanno abbandonando i loro carrelli e non sarai in grado di capire perché.

Cassa acquisti insicura

Se possiedi un sito Web di eCommerce, un CAPTCHA bypassato significa che gli hacker possono eseguire una serie di attività fraudolente. Ciò può includere l'accesso agli account utente, l'esecuzione di acquisti con carte rubate (carte) e persino l'accesso ad altre aree sensibili del tuo sito Web come il tuo database.

Meno risorse web

Con l'accesso al tuo sito Web, i bot bombarderanno il tuo sito Web, inviando richieste di connessione e occupando risorse limitate. Ciò significa che gli utenti legittimi avranno un accesso rallentato o addirittura inesistente al tuo sito Web, il che può essere dannoso per la tua attività. Le statistiche mostrano che il 53% delle persone andrà a un concorrente se il caricamento del tuo sito Web impiega più di 3 secondi (digitale).

Cosa puoi fare con CAPTCHA bypassando i bot?

Aggiungi reCAPTCHA al tuo sito web

reCAPTCHA è molto più difficile da bypassare rispetto a CAPTCHA, quindi è una buona idea aggiungerlo al tuo sito web. È gratuito per i primi 1 milione di valutazioni al mese sul tuo sito Web, facile da installare e tutto ciò che devi fare è registrarti per una coppia di chiavi API per il tuo sito.

Le istruzioni specifiche sono riportate nella pagina delle istruzioni dedicata.

Bot Zapping di ClickCease

Bot Zapping di ClickCease aggiunge un ulteriore livello di sicurezza al tuo sito web, impedendo alle forme più comuni di traffico automatizzato di accedere al tuo sito. Il servizio scansiona l'attività dei tuoi visitatori alla ricerca di segni rivelatori di presenza di bot e impedisce loro di interagire con il tuo sito web.

Ciò significa che anche se superano il tuo CAPTCHA, Bot Zapping li identificherà e li eliminerà dal tuo sito Web, consentendo solo ai clienti genuini di passare.

La linea di fondo

Le tattiche degli hacker stanno diventando più sofisticate man mano che migliorano nel bypassare semplici sistemi di difesa come CAPTCHA, ma fortunatamente hai anche accesso a misure avanzate.

Bot Zapping di ClickCease assicurerà che quei programmi automatizzati non aggirino i captcha o non influiscano sui tuoi canali o moduli di marketing.

Prova ClickCease gratuitamente per 7 giorni e scopri quanta differenza fa il blocco del traffico automatizzato verso il tuo sito.