詐欺師がボットを使用してサイトの CAPTCHA をバイパスする方法

公開: 2022-09-19

Web サイトにアクセスしようとする攻撃者にとって、CAPTCHA と呼ばれる基本的なセキュリティ テストは優れた防御策です。 2000 年の作成以来、高度なボットを捕捉し、Web サイトを安全に保つために、ますます洗練されてきました。

しかし、調査によると、渡されたすべての CAPTCHA の半分が実際のユーザーではなくボットによって完成されているため、私たちは時代の終わりにいる可能性があります。 つまり、ボットを制御する攻撃者は、スパム コメントを残したり、無効なフォームを送信したり、Web サイトが提供する他のサービスを悪用したりできます。

これを踏まえて、CAPTCHA がどのように機能するか、CAPTCHA ソルバーがどのように簡単に CAPTCHA を回避できるか、そしてそれが Web サイトにとって何を意味するかを理解する良い機会です。

CAPTCHAとは正確には何ですか?

CAPTCHA は記述的な頭字語で、 Completely Automated Public Turing test to tell Computers and Humans Apartの略です。 CAPTCHA テストは、人間のユーザーが Web サイトにアクセスすることを許可しますが、ボットは締め出します。 CAPTCHA は、ブログのスパム コメントから無許可のダウンロードまで、あらゆるものを保護します。

CAPTCHA テストでは、ボットが読み取れないユーザーの画像が表示されます。 文字は通常、形が崩れていたり、色あせていたり、意味不明な言葉が混じっていたりするため、実際の人間だけが文字を解釈できます。 画像には、ボットが OCR を使用するのを困難にするある種の歪みがあります。

ユーザーは、表示された内容を指定されたフィールドに入力する必要があり、正しく答えると、保護された Web エリアへのアクセスが許可されます。 単純なボットは、不規則で理解できない文字を返したり、間違った画像をクリックしたりして、人間ではないことを明らかにします。

一方、高度なボットは、さまざまな戦略を使用してこれらの歪んだ画像を読み取り、テストを簡単にバイパスできます。 その結果、Google の reCAPTCHA のような、より洗練された CAPTCHA が開発され、Web サイトのセキュリティが強化されています。

CAPTCHAの種類

CAPTCHA は、テキスト ベース、画像ベース、音声ベースのいずれかであり、おそらく 3 つすべてに遭遇したことがあるでしょう。

テキスト CAPTCHA

これらは最も一般的であり、実際のメッセージを識別するために歪んだテキストを確認する必要があります。 それらは実際の世界である場合もあれば、形状、サイズ、大文字と小文字、または向きによって歪められた、まったく意味不明な世界である場合もあります。

テキスト CAPTCHA に十分な回数失敗すると、通常、CAPTCHA 画像など、別の検証方法を試すように求めるメッセージが表示されます。

画像キャプチャ

明確な答えがないように見える CAPTCHA 画像は非常に厄介です。 良い例は、信号が 2 つのグリッドに分割されているにもかかわらず、信号のあるすべてのグリッドを選択する必要がある写真です。

幸いなことに、いつでも更新ボタンを押して、何の影響もなく別の画像を取得できます。 または、オーディオ CAPTCHA を試すこともできます。

音声キャプチャ

オーディオ CAPTCHA を使用すると、ユーザーは短い録音を聞いて、聞こえた単語を入力できます。 ボットは音声認識を使用して、発音された文字を録音の背景ノイズから区別できないため、これらは効果的です。 人間には少し耳障りかもしれませんが、オーディオ CAPTCHA は非常に効果的です。

Google reCAPTCHA

Google reCAPTCHA は、CAPTCHA テストのより高度なバージョンです。 単純に検証テストをランダムに生成するのではなく、マウスのパターンを分析して表示するテストを決定します。

システムがあなたを人間だと判断した場合、単純な「私はロボットではありません」というチェックマーク CAPTCHA が表示されます。

ハッカーはどのようにして CAPTCHA をバイパスしますか?

ハッカーは、通常の CAPTCHA チャレンジを簡単に回避できるようになりました。ハッカーが使用する戦略の一部を次に示します。

人工知能 (AI)

Adrain Rosebrock は著書「Deep Learning for Computer Vision with Python」で、E-ZPass New York Web サイトで CAPTCHA をバイパスするための戦略を説明しています。 彼のアプローチには、ソース コードにアクセスできなかったため、何百ものサンプル画像をダウンロードしてシステムをトレーニングし、学習した AI をシステムにリリースすることが含まれていました。

オープン ソース コードを使用した CAPTCHA は、ハッカーがそのソースを使用して機械学習システムを訓練し、CAPTCHA テストを回避できるため、理論的には簡単にクラックできます。 考えられるすべての問題を知っていれば、誰でも試験に合格できます。

クリックファーム

クリック ファームは AI ほど洗練されていませんが、仕事は同じように完了します。 クリック ファームでは、低賃金の労働者が Web サイトをクリックし、ボットには不可能なセキュリティ対策を回避しようとします。 そのため、CAPTCHA はボットを困惑させる可能性がありますが、人間は CAPTCHA を問題なくすばやく連続して解決します。

また、CAPTCHA の入力などの複雑なプロセスのために人間によって部分的に実行されるサイボーグ ボットもあります。 多くの場合、サイボーグはクリック ファームまたはボット ファームに拠点を置いており、リンクされたデジタル デバイスの壁全体を備えたわずか数人の人間で構成されていることがよくあります。

クリック ファームとボット ファームの世界の詳細については、ブログをご覧ください。

CAPTCHA ハッキング戦略

Hack Tricks では、ハッカーが CAPTCHA を簡単に回避する方法をいくつか挙げています。 その中には、CAPTCHA ソリューション (テキストの場合) についてページのソース コードをチェックすることや、同じチャレンジが 2 回発生した場合に備えて古い CAPTCHA 値を使用することが含まれます。

その他の CAPTCHA バイパス戦略には次のものがあります。

  • OCR を使用して画面上の文字を読み取る
  • 使用されている画像の数を確認し、MD5 で検出する
  • CAPTCHA パラメーターを空にして送信し、それがうまくいくかどうかを確認します。

CAPTCHA解決サービス

ハッカーは、CAPTCHA ソルバー サービスを使用してサイトにアクセスすることもできます。 これらの CAPTCHA ソリューション プロバイダーは、AI からクリック ファーム、さらには特定の状況下で CAPTCHA テストをバイパスできる単純な API ツールまで、既にリストしたさまざまなアプローチを使用しています。

これらのサービスは、ボットがサイトにアクセスするとすぐに機能するように、単純なブラウザー拡張機能を介して呼び出すことができます。

セキュリティ バグ

2018 年、あるセキュリティ研究者は、Google の reCAPTCHA をバイパスできるバグを発見しました。 基本的な要点は、reCAPTCHA を使用する Web アプリは特定の方法でリクエストを作成する必要があり、場合によってはリクエストが安全ではないということです。 これが発生すると、攻撃者は毎回 reCAPTCHA をバイパスする可能性があります。 (アンドレス・リアンチョ)

このバグにはパッチが適用されており、reCAPTCHA バイパスを再作成することはできなくなりました。 ただし、これは、攻撃者がバグや弱点を悪用してサイトの CAPTCHA を回避する方法の代表的な例です。

Google reCAPTCHA をバイパスするのが難しい理由

興味深いのは、reCAPTCHA がユーザー マクロの動作を分析し、必要に応じてチャレンジを適応させることです。 たとえば、ほとんどのボットは、人間のように Web ページに関与しないため、「私はロボットではありません」というテストを受けることはありません。

単純なチェックマークのプロンプトが表示されたとしても、ボックスにチェックを入れるほど単純ではありません。 もしそうなら、ボットは画面上の画像をつかみ、OCR を使用して、クリックする場所を見つけることができます。

これらのテストでは、クリックしたときのマウスの動きのパターンも分析されます。 人間のマウスの動きは非常にぎこちなくぎくしゃくしています。CAPTCHA がそれを検出すると、通過できます。 ロボットはよりスムーズに動き、より難しいテストをトリガーします。

ハッカーが CAPTCHA を解読するとどうなりますか?

独立したハッカーは、人間と同じように CAPTCHA を入力するだけで、CAPTCHA をすり抜けることができます。 ボットで CAPTCHA をバイパスできると、危険性が高まります。 つまり、サーバーに多くのリクエストを送信したり、リソースを過負荷にしたり、データを盗んだりする可能性があります.

スパムコメントの増加

効果的な CAPTCHA の「ゲートキーパー」がなければ、悪意のあるサービスから他の Web サイトまで、あらゆるものを宣伝するスパム コメントが届くことが予想されます。 あなたのウェブサイトが最初にコメントを承認するように設定されている場合、コメントは一般公開されません。 ただし、バックエンドで数十または数百もの無関係なコメントに溺れてしまいます。

無効な分析データ

ボットは Web ページのトラフィックをゆがめ、分析データを役に立たなくします。 ハッカーが CAPTCHA をすり抜ける方法を見つけた場合、コンバージョンがゼロのトラフィックの急増に気付くか、ユーザーがカートを放棄していることに気付くかもしれませんが、その理由を突き止めることはできません.

安全でないショッピング チェックアウト

e コマース Web サイトを所有している場合、バイパスされた CAPTCHA は、ハッカーが多くの不正行為を実行できることを意味します。 これには、ユーザー アカウントへのアクセス、盗まれたカードでの購入 (カーディング)、さらにはデータベースなどの Web サイトの他の機密領域へのアクセスが含まれる場合があります。

Web リソースの削減

Web サイトにアクセスすると、ボットは Web サイトを攻撃し、接続要求を送信して有限のリソースを消費します。 これは、正当なユーザーが Web サイトへのアクセスを遅くしたり、存在しないことさえあり、ビジネスに損害を与える可能性があることを意味します. 統計によると、ウェブサイトの読み込みに 3 秒以上かかる場合、53% の人が競合他社に移動します (デジタル)。

ボットをバイパスする CAPTCHA について何ができますか?

ウェブサイトに reCAPTCHA を追加する

reCAPTCHA は CAPTCHA よりも回避するのがはるかに難しいため、Web サイトに追加することをお勧めします。 Web サイトで月に最初の 100 万回の評価まで無料で使用でき、インストールも簡単で、サイトの API キー ペアにサインアップするだけです。

具体的な手順は、専用の手順ページに記載されています。

ClickCeaseによるボットザッピング

ClickCease のボット ザッピングは、Web サイトにセキュリティ層を追加し、最も一般的な形態の自動化されたトラフィックがサイトにアクセスするのを阻止します。 このサービスは、訪問者のアクティビティをスキャンして、ボットの存在を示す明確な兆候を見つけ、Web サイトとのやり取りをブロックします。

つまり、CAPTCHA を通過したとしても、Bot Zapping はそれらを識別して Web サイトから削除し、本物の顧客だけが通過できるようにします。

結論

ハッカーの戦術は、CAPTCHA などの単純な防御システムをうまく回避できるようになるにつれて、ますます巧妙になっていますが、幸いなことに、高度な手段にもアクセスできます。

ClickCease のボット ザッピングは、これらの自動化されたプログラムがキャプチャをバイパスしたり、マーケティング チャネルやフォームを台無しにしたりしないようにします。

ClickCease を 7 日間無料で試して、自動化されたトラフィックをブロックすることでサイトにどのような違いが生じるかを確認してください。