Como os fraudadores usam bots para ignorar CAPTCHAs em seu site

Para invasores que desejam acessar seu site, um teste de segurança básico chamado CAPTCHA é uma ótima linha de defesa. Desde sua criação em 2000, tornou-se cada vez mais sofisticado em capturar bots avançados e manter sites seguros.

Mas podemos estar no fim de uma era porque, de acordo com pesquisas, metade de todos os CAPTCHAs aprovados são preenchidos por bots, não por usuários reais. Isso significa que os invasores que controlam os bots podem fazer de tudo, desde deixar comentários de spam e enviar formulários inválidos até abusar de outros serviços que seu site oferece.

À luz disso, agora é um bom momento para entender como o CAPTCHA funciona, como um solucionador de CAPTCHA pode ignorá-lo com tanta facilidade e o que isso significa para o seu site.

O que exatamente é CAPTCHA?

CAPTCHA é um acrônimo descritivo e significa Teste de Turing Público Completamente Automatizado para diferenciar computadores e humanos . O teste CAPTCHA permite que usuários humanos acessem um site, mas mantém os bots afastados. O CAPTCHA protege tudo, desde comentários de blog com spam até downloads não autorizados.

Um teste CAPTCHA mostrará aos usuários imagens ilegíveis por bots. Com letras, elas geralmente são deformadas, desbotadas ou misturadas com um monte de rabiscos, então apenas humanos reais podem interpretá-las. Com imagens, há algum tipo de distorção que torna mais difícil para os bots usarem o OCR.

Os usuários precisam inserir o que veem no campo fornecido e, se responderem corretamente, terão acesso à área da Web protegida. Bots simples retornarão letras irregulares e incompreensíveis ou clicarão nas imagens erradas, tornando óbvio que não são humanos.

Bots avançados, por outro lado, podem usar uma variedade de estratégias para ler essas imagens distorcidas e ignorar o teste facilmente. Como resultado, CAPTCHAs mais sofisticados, como o reCAPTCHA do Google, foram desenvolvidos para aumentar a segurança do site.

Tipos de CAPTCHA

CAPTCHA é baseado em texto, baseado em imagem ou baseado em som, e as chances são de que você tenha encontrado todos os três.

CAPTCHAs de texto

Esses são os mais comuns e exigem que você observe o texto distorcido para identificar a mensagem real. Às vezes, são mundos reais e, outras vezes, são sem sentido, distorcidos pela forma, tamanho, capitalização ou orientação.

Se você falhar em CAPTCHAs de texto suficientes, geralmente receberá uma solicitação para tentar um método diferente de verificação, como uma imagem CAPTCHA.

CAPTCHAs de imagem

Uma imagem CAPTCHA pode ser bastante problemática quando não parece haver uma resposta clara. Um ótimo exemplo é uma imagem em que você deve selecionar todas as grades com semáforos, mesmo que a luz seja dividida entre duas grades.

Felizmente, você sempre pode apertar o botão de atualização para obter outra imagem sem consequências. Ou você pode tentar o CAPTCHA de áudio.

CAPTCHA de áudio

Com os CAPTCHAs de áudio, os usuários podem ouvir uma gravação curta e digitar a palavra que ouvem. Eles são eficazes porque os bots não podem usar o reconhecimento de fala para diferenciar os caracteres pronunciados do ruído de fundo na gravação. Pode ser um pouco desconfortável de ouvir para humanos, mas os CAPTCHAs de áudio são bastante eficazes.

Google reCAPTCHA

O Google reCAPTCHA é uma versão mais avançada dos testes CAPTCHA. Em vez de simplesmente gerar um teste de verificação aleatoriamente, ele analisa o padrão do seu mouse e decide qual teste mostrar.

Se o sistema achar que você é humano, você receberá uma simples marca de seleção “eu sou, não sou um robô” CAPTCHA Caso contrário, você terá que completar um teste mais difícil, como clicar em todos os barcos em um grupo de fotos.

Como os hackers ignoram o CAPTCHA?

Os hackers agora têm mais facilidade em contornar os desafios normais do CAPTCHA, e aqui estão algumas das estratégias que eles usam.

Inteligência Artificial (IA)

Em seu livro, Deep Learning for Computer Vision with Python, Adrain Rosebrock apresenta sua estratégia para contornar o CAPTCHA no site E-ZPass New York. Sua abordagem incluiu baixar centenas de imagens de exemplo para treinar seu sistema porque ele não tinha acesso ao código-fonte e, em seguida, liberar a IA aprendida no sistema.

Os CAPTCHAs com código-fonte aberto são, em teoria, mais fáceis de decifrar porque os hackers podem usar a fonte para treinar seu sistema de aprendizado de máquina para contornar os testes CAPTCHA, independentemente da dificuldade. Qualquer pessoa pode passar no exame se souber todas as perguntas possíveis.

Clique em fazendas

As fazendas de cliques são um pouco menos sofisticadas que a IA, mas fazem o trabalho da mesma forma. Em uma fazenda de cliques, trabalhadores mal pagos clicam em sites tentando contornar medidas de segurança que são impossíveis para bots. Portanto, enquanto um CAPTCHA pode atrapalhar um bot, um humano resolverá CAPTCHAs sem dificuldade e em rápida sucessão.

Existem também bots ciborgues, que são parcialmente executados por humanos para processos complexos, como entrar em CAPTCHAs. Os ciborgues geralmente são baseados em fazendas de cliques ou fazendas de bots, muitas vezes compostas por apenas alguns humanos com uma parede inteira de dispositivos digitais vinculados.

Confira nosso blog para uma visão aprofundada do mundo dos farms de cliques e também dos bots.

Estratégias de hackers CAPTCHA

Hack Tricks lista algumas das maneiras pelas quais os hackers contornam o CAPTCHA facilmente. Alguns deles incluem verificar o código-fonte da sua página para soluções CAPTCHA (caso seja texto) ou usar um valor CAPTCHA antigo caso recebam o mesmo desafio duas vezes.

Outras estratégias de desvio de CAPTCHA incluem

• Usando OCR para ler os caracteres na tela
• Verificando quantas imagens estão sendo usadas e detectando-as com MD5
• Enviando o parâmetro CAPTCHA vazio e vendo se isso funciona.

Serviço de resolução de CAPTCHA

Os hackers também podem usar um serviço de solução CAPTCHA para obter acesso ao seu site. Esses provedores de soluções CAPTCHA usam uma variedade de abordagens que já listamos, de IA a farms de cliques e até ferramentas de API simples que podem ignorar os testes CAPTCHA em circunstâncias específicas.

Esses serviços podem ser chamados por meio de extensões simples do navegador para que funcionem imediatamente quando o bot acessar seu site.

Erros de segurança

Em 2018, um pesquisador de segurança encontrou um bug que lhe permitiu contornar o reCAPTCHA do Google. A essência básica é que os aplicativos da Web que usam o reCAPTCHA precisam criar a solicitação de uma maneira específica e, às vezes, a solicitação é insegura. Quando isso acontecia, os invasores podiam ignorar o reCAPTCHA todas as vezes. (André Riancho)

O bug já foi corrigido e não é mais possível recriar o desvio do reCAPTCHA. No entanto, este é um excelente exemplo de como os invasores podem explorar bugs e pontos fracos para contornar o CAPTCHA do seu site.

Por que o Google reCAPTCHA é mais difícil de ignorar

O interessante é que o reCAPTCHA analisa o comportamento das macros do usuário e adapta os desafios conforme necessário. Assim, por exemplo, a maioria dos bots nunca fará o teste “Eu não sou um robô” porque eles não se envolvem com páginas da web da mesma forma que um ser humano.

Mesmo quando eles encontram o prompt de marca de seleção simples, não é tão simples quanto marcar a caixa. Se fosse, os bots poderiam pegar as imagens na tela, usar o OCR e descobrir onde clicar.

Esses testes também analisam o padrão de movimento do mouse quando você clica. Os movimentos do mouse humano são muito desajeitados e irregulares, e quando o CAPTCHA detecta isso, ele permite que você passe. Um robô se moverá mais suavemente e acionará um teste mais difícil.

O que acontece quando hackers quebram seu CAPTCHA?

Qualquer hacker independente pode passar pelo seu CAPTCHA simplesmente preenchendo-o como um humano faria. O perigo aumenta quando eles conseguem contornar seu CAPTCHA com bots. Isso significa que eles podem bombardear seu servidor com muitas solicitações, sobrecarregar seus recursos ou possivelmente roubar seus dados.

Aumento de comentários de spam

Sem um “gatekeeper” CAPTCHA eficaz, você pode esperar comentários de spam que anunciam tudo, desde serviços maliciosos até outros sites. Se seu site estiver configurado para aprovar comentários primeiro, eles não aparecerão para o público em geral. No entanto, você será afogado por dezenas ou mesmo centenas de comentários irrelevantes no back-end.

Dados de análise inválidos

Os bots distorcerão o tráfego em sua página da web e tornarão seus dados analíticos inúteis. Se os hackers descobrirem uma maneira de ultrapassar o seu CAPTCHA, você poderá notar um aumento no tráfego com zero conversões ou descobrir que os usuários estão abandonando seus carrinhos e você não conseguirá descobrir o motivo.

Finalização de compra insegura

Se você possui um site de comércio eletrônico, um CAPTCHA ignorado significa que os hackers podem realizar várias atividades fraudulentas. Isso pode incluir acessar contas de usuários, fazer compras com cartões roubados (carding) e até mesmo acessar outras áreas sensíveis do seu site, como seu banco de dados.

Menos recursos da web

Com acesso ao seu site, os bots bombardeiam seu site, enviando solicitações de conexão e ocupando recursos finitos. Isso significa que usuários legítimos terão acesso lento ou até inexistente ao seu site, o que pode ser prejudicial para o seu negócio. As estatísticas mostram que 53% das pessoas irão para um concorrente se o seu site demorar mais de 3 segundos para carregar (Digital).

O que você pode fazer sobre CAPTCHA ignorando bots?

Adicione o reCAPTCHA ao seu site

O reCAPTCHA é muito mais difícil de contornar do que o CAPTCHA e, por isso, é uma boa ideia adicioná-lo ao seu site. É gratuito para usar nos primeiros 1 milhão de avaliações em seu site por mês, fácil de instalar e tudo o que você precisa fazer é se inscrever em um par de chaves de API para seu site.

As instruções específicas são apresentadas na página de instruções dedicada.

Bot Zapping por ClickCease

O Bot Zapping da ClickCease adiciona uma camada adicional de segurança ao seu site, impedindo que as formas mais comuns de tráfego automatizado acessem seu site. O serviço verifica a atividade do visitante em busca de sinais reveladores da presença de bots e os impede de interagir com seu site.

Isso significa que, mesmo que eles passem pelo seu CAPTCHA, o Bot Zapping os identificará e os eliminará do seu site, permitindo que apenas clientes genuínos passem.

A linha de fundo

As táticas de hackers estão se tornando mais sofisticadas à medida que melhoram para contornar sistemas de defesa simples como o CAPTCHA, mas, felizmente, você também tem acesso a medidas avançadas.

Bot Zapping da ClickCease garantirá que esses programas automatizados não ignorem captchas ou mexam com seus canais ou formulários de marketing.

Experimente o ClickCease gratuitamente por 7 dias e veja quanta diferença o bloqueio de tráfego automatizado faz no seu site.