Jak oszuści używają botów do omijania CAPTCHA w Twojej witrynie?

Dla atakujących, którzy chcą uzyskać dostęp do Twojej witryny, podstawowym testem bezpieczeństwa o nazwie CAPTCHA jest świetną linią obrony. Od momentu powstania w 2000 roku, coraz bardziej wyrafinowany w łapaniu zaawansowanych botów i utrzymywaniu bezpieczeństwa stron internetowych.

Ale możemy być pod koniec pewnej ery, ponieważ według badań połowa wszystkich przekazanych CAPTCHA jest wykonywana przez boty, a nie prawdziwych użytkowników. Oznacza to, że atakujący kontrolujący boty mogą robić wszystko, od zostawiania komentarzy spamowych i przesyłania nieprawidłowych formularzy po nadużywanie innych usług świadczonych przez Twoją witrynę.

W związku z tym teraz jest dobry czas, aby zrozumieć, jak działa CAPTCHA, w jaki sposób solver CAPTCHA może go tak łatwo ominąć i co to oznacza dla Twojej witryny.

Czym dokładnie jest CAPTCHA?

CAPTCHA to opisowy akronim i oznacza całkowicie zautomatyzowany test publiczny Turing, aby odróżnić Computers and Humans Apart . Test CAPTCHA umożliwia użytkownikom dostęp do strony internetowej, ale zapobiega botom. CAPTCHA chroni wszystko, od spamerskich komentarzy na blogach po nawet nieautoryzowane pobrania.

Test CAPTCHA pokaże obrazy użytkowników, które są nieczytelne dla botów. W przypadku liter są one zwykle zniekształcone, wyblakłe lub pomieszane z dużą ilością bełkotu, więc tylko prawdziwi ludzie mogą je zinterpretować. W przypadku obrazów występuje pewien rodzaj zniekształceń, które utrudniają botom korzystanie z OCR.

Użytkownicy muszą wpisać to, co widzą, w odpowiednim polu, a jeśli odpowiedzą poprawnie, otrzymają dostęp do chronionego obszaru internetowego. Proste boty zwracają nieregularne i niezrozumiałe litery lub klikają niewłaściwe obrazki, czyniąc oczywistym, że nie są ludźmi.

Z drugiej strony zaawansowane boty mogą używać różnych strategii, aby odczytać te zniekształcone obrazy i łatwo ominąć test. W rezultacie opracowano bardziej wyrafinowane CAPTCHA, takie jak reCAPTCHA Google, aby zwiększyć bezpieczeństwo witryny.

Rodzaje CAPTCHA

CAPTCHA jest oparta na tekście, obrazie lub dźwięku, a szanse są takie, że spotkałeś wszystkie trzy.

Tekst CAPTCHA

Są to najczęstsze i wymagają spojrzenia na zniekształcony tekst, aby zidentyfikować prawdziwą wiadomość. Czasami są to rzeczywiste światy, a innym razem są zwykłym bełkotem, zniekształconym przez kształt, rozmiar, wielkość liter lub orientację.

Jeśli nie zaliczysz wystarczającej liczby tekstowych CAPTCHA, zwykle otrzymasz monit o wypróbowanie innej metody weryfikacji, na przykład obrazu CAPTCHA.

Obraz CAPTCHA

Obraz CAPTCHA może być dość kłopotliwy, gdy wygląda na to, że nie ma jasnej odpowiedzi. Świetnym przykładem jest obraz, na którym musisz zaznaczyć wszystkie siatki z sygnalizacją świetlną, nawet jeśli światło jest podzielone na dwie siatki.

Na szczęście zawsze możesz nacisnąć przycisk odświeżania, aby uzyskać kolejny obraz bez konsekwencji. Możesz też wypróbować audio CAPTCHA.

Dźwięk CAPTCHA

Dzięki audio CAPTCHA użytkownicy mogą odsłuchać krótkie nagranie i wpisać słowo, które usłyszą. Są one skuteczne, ponieważ boty nie mogą używać rozpoznawania mowy do odróżniania wymawianych znaków od szumu tła w nagraniu. Może to być nieco niewygodne dla ludzi, ale CAPTCHA audio są dość skuteczne.

Google reCAPTCHA

Google reCAPTCHA to bardziej zaawansowana wersja testów CAPTCHA. Zamiast po prostu generować losowy test weryfikacyjny, analizuje wzorzec myszy i decyduje, który test wyświetlić.

Jeśli system uzna, że ​​jesteś człowiekiem, dostaniesz prosty znacznik „Ja nie jestem robotem” CAPTCHA W przeciwnym razie będziesz musiał wykonać trudniejszy test, jak kliknięcie wszystkich łodzi w grupie obrazków.

Jak hakerzy omijają CAPTCHA?

Hakerzy mają teraz łatwiejszy czas na ominięcie zwykłych wyzwań CAPTCHA, a oto niektóre ze stosowanych przez nich strategii.

Sztuczna inteligencja (AI)

W swojej książce Deep Learning for Computer Vision with Python Adrain Rosebrock przedstawia swoją strategię obchodzenia CAPTCHA na stronie internetowej E-ZPass New York. Jego podejście obejmowało pobranie setek przykładowych obrazów, aby wyszkolić swój system, ponieważ nie miał dostępu do kodu źródłowego, a następnie udostępnienie wyuczonej sztucznej inteligencji w systemie.

CAPTCHA z otwartym kodem źródłowym są teoretycznie łatwiejsze do złamania, ponieważ hakerzy mogą używać tego źródła do trenowania swojego systemu uczenia maszynowego w celu obejścia testów CAPTCHA, niezależnie od poziomu trudności. Każdy może zdać egzamin, jeśli znasz wszystkie możliwe pytania.

Kliknij farmy

Farmy kliknięć są nieco mniej wyrafinowane niż sztuczna inteligencja, ale mimo to wykonują zadanie. Na farmie kliknięć słabo opłacani pracownicy klikają strony internetowe, próbując ominąć zabezpieczenia, które są niemożliwe dla botów. Tak więc, podczas gdy CAPTCHA może obezwładnić bota, człowiek rozwiąże CAPTCHA bez trudności i w krótkim odstępie czasu.

Istnieją również boty cyborgi, które są częściowo obsługiwane przez ludzi do złożonych procesów, takich jak wprowadzanie CAPTCHA. Cyborgi często opierają się na farmach kliknięć lub farmach botów, często obsługiwanych przez zaledwie kilka osób z całą ścianą połączonych urządzeń cyfrowych.

Zajrzyj na nasz blog, aby dogłębnie przyjrzeć się światu farm kliknięć, a także farm botów.

Strategie hakerskie CAPTCHA

Hack Tricks zawiera listę niektórych sposobów, w jakie hakerzy łatwo omijają CAPTCHA. Niektóre z nich obejmują sprawdzenie kodu źródłowego strony pod kątem rozwiązań CAPTCHA (w przypadku, gdy jest to tekst) lub użycie starej wartości CAPTCHA w przypadku dwukrotnego otrzymania tego samego wyzwania.

Inne strategie obejścia CAPTCHA obejmują

• Używanie OCR do odczytywania znaków na ekranie
• Sprawdzanie, ile obrazów jest używanych i wykrywanie ich za pomocą MD5
• Wysłanie pustego parametru CAPTCHA i sprawdzenie, czy to załatwia sprawę.

Usługa rozwiązywania CAPTCHA

Hakerzy mogą również korzystać z usługi rozwiązywania problemów CAPTCHA, aby uzyskać dostęp do Twojej witryny. Ci dostawcy rozwiązań CAPTCHA stosują różne podejścia, które już wymieniliśmy, od sztucznej inteligencji po farmy kliknięć, a nawet proste narzędzia API, które mogą ominąć testy CAPTCHA w określonych okolicznościach.

Usługi te można wywoływać za pomocą prostych rozszerzeń przeglądarki, aby działały natychmiast, gdy bot uzyska dostęp do Twojej witryny.

Błędy bezpieczeństwa

W 2018 roku badacz bezpieczeństwa znalazł błąd, który pozwolił mu ominąć reCAPTCHA Google. Podstawową istotą jest to, że aplikacje internetowe korzystające z reCAPTCHA muszą tworzyć żądanie w określony sposób, a czasami żądanie jest niezabezpieczone. Kiedy tak się stało, atakujący mogli za każdym razem ominąć reCAPTCHA. (Andres Riancho)

Błąd został już załatany i nie jest już możliwe odtworzenie obejścia reCAPTCHA. Jest to jednak doskonały przykład tego, jak atakujący mogą wykorzystać błędy i słabości, aby ominąć CAPTCHA Twojej witryny.

Dlaczego Google reCAPTCHA jest trudniej ominąć

Co ciekawe, reCAPTCHA analizuje zachowanie makr użytkownika i w razie potrzeby dostosowuje wyzwania. Na przykład większość botów nigdy nie przejdzie testu „Nie jestem robotem”, ponieważ nie wchodzą one w interakcję ze stronami internetowymi tak, jak robi to człowiek.

Nawet gdy napotkają prosty monit o zaznaczenie, nie jest to tak proste, jak zaznaczenie pola. Gdyby tak było, boty mogłyby przechwycić obrazy na ekranie, użyć OCR i dowiedzieć się, gdzie kliknąć.

Testy te analizują również wzorzec ruchu myszy podczas klikania. Ruchy ludzkiej myszy są bardzo niezgrabne i gwałtowne, a kiedy CAPTCHA to wykryje, przepuszcza cię. Robot będzie się poruszał płynniej i wywoła trudniejszy test.

Co się stanie, gdy hakerzy złamią Twój CAPTCHA?

Każdy niezależny haker może ominąć Twój CAPTCHA, po prostu wypełniając go tak, jak zrobiłby to człowiek. Niebezpieczeństwo wzrasta, gdy są w stanie ominąć twoje CAPTCHA za pomocą botów. Oznacza to, że mogą bombardować Twój serwer wieloma żądaniami, przeciążać zasoby lub ewentualnie ukraść Twoje dane.

Zwiększona liczba komentarzy spamowych

Bez skutecznego „strażnika” CAPTCHA można spodziewać się komentarzy spamowych, które reklamują wszystko, od złośliwych usług po inne strony internetowe. Jeśli Twoja witryna jest ustawiona tak, aby najpierw zatwierdzać komentarze, nie będą one widoczne dla ogółu społeczeństwa. Jednak zostaniesz zatopiony przez dziesiątki, a nawet setki nieistotnych komentarzy na zapleczu.

Nieprawidłowe dane analityczne

Boty zniekształcą ruch na Twojej stronie i sprawią, że Twoje dane analityczne staną się bezużyteczne. Jeśli hakerzy wymyślą sposób na ominięcie CAPTCHA, możesz zauważyć gwałtowny wzrost ruchu przy zerowej liczbie konwersji lub odkryć, że użytkownicy porzucają swoje koszyki, a Ty nie będziesz w stanie dowiedzieć się, dlaczego.

Niepewne zakupy przy kasie

Jeśli jesteś właścicielem witryny eCommerce, ominięte CAPTCHA oznacza, że ​​hakerzy mogą wykonywać szereg nieuczciwych działań. Może to obejmować dostęp do kont użytkowników, dokonywanie zakupów za pomocą skradzionych kart (carding), a nawet dostęp do innych wrażliwych obszarów witryny, takich jak baza danych.

Mniej zasobów internetowych

Mając dostęp do Twojej witryny, boty będą bombardować Twoją witrynę, przesyłając żądania połączenia i zajmując ograniczone zasoby. Oznacza to, że legalni użytkownicy spowolnią lub nawet nie będą mieli dostępu do Twojej witryny, co może być szkodliwe dla Twojej firmy. Statystyki pokazują, że 53% osób przejdzie do konkurenta, jeśli Twoja witryna ładuje się dłużej niż 3 sekundy (cyfrowe).

Co możesz zrobić, aby CAPTCHA omijała boty?

Dodaj reCAPTCHA do swojej witryny

reCAPTCHA jest znacznie trudniejsze do ominięcia niż CAPTCHA, więc dobrym pomysłem jest dodanie go do swojej witryny. Jest bezpłatny do pierwszego miliona ocen w witrynie miesięcznie, jest łatwy w instalacji, a wszystko, co musisz zrobić, to zarejestrować się w celu uzyskania pary kluczy API dla swojej witryny.

Szczegółowe instrukcje znajdują się na dedykowanej stronie instrukcji.

Zapping botów przez ClickCease

ClickCease's Bot Zapping dodaje dodatkową warstwę bezpieczeństwa do Twojej witryny, powstrzymując najczęstsze formy automatycznego ruchu przed dostępem do Twojej witryny. Usługa skanuje aktywność odwiedzających w poszukiwaniu charakterystycznych oznak obecności bota i blokuje im interakcję z Twoją witryną.

Oznacza to, że nawet jeśli przejdą przez Twój CAPTCHA, Bot Zapping zidentyfikuje ich i usunie z Twojej witryny, pozwalając tylko prawdziwym klientom na przejście.

Najważniejsze!

Taktyki hakerów stają się coraz bardziej wyrafinowane, ponieważ coraz lepiej omijają proste systemy obronne, takie jak CAPTCHA, ale na szczęście masz również dostęp do zaawansowanych środków.

Bot Zapping od ClickCease zapewni, że te zautomatyzowane programy nie ominą captcha ani nie zamieszają w Twoich kanałach marketingowych lub formularzach.

Wypróbuj ClickCease za darmo przez 7 dni i zobacz, jak duże znaczenie ma blokowanie automatycznego ruchu w Twojej witrynie.