Cum folosesc fraudatorii roboți pentru a ocoli CAPTCHA-urile de pe site-ul dvs

Pentru atacatorii care doresc să vă acceseze site-ul web, un test de securitate de bază numit CAPTCHA este o linie de apărare excelentă. De la crearea sa în 2000, a devenit din ce în ce mai sofisticat în a prinde roboți avansați și a menține site-urile în siguranță.

Dar s-ar putea să ne aflăm la sfârșitul unei ere, deoarece, conform cercetărilor, jumătate din toate CAPTCHA-urile trecute sunt finalizate de roboți, nu de utilizatori reali. Aceasta înseamnă că atacatorii care controlează roboții pot face totul, de la lăsarea de comentarii spam și trimiterea de formulare nevalide până la abuzul de alte servicii pe care site-ul dvs. le oferă.

Având în vedere acest lucru, acum este un moment bun pentru a înțelege cum funcționează CAPTCHA, cum un solutor CAPTCHA îl poate ocoli atât de ușor și ce înseamnă pentru site-ul dvs. web.

Ce este mai exact CAPTCHA?

CAPTCHA este un acronim descriptiv și reprezintă testul Turing public complet automatizat pentru a distinge computerele și oamenii . Testul CAPTCHA permite utilizatorilor umani să acceseze un site web, dar îi ține departe pe roboții. CAPTCHA protejează totul, de la comentariile spam pe blog până la descărcări neautorizate.

Un test CAPTCHA va arăta utilizatorilor imagini care nu pot fi citite de roboți. Cu literele, acestea sunt de obicei deformate, spălate sau amestecate cu o mulțime de farfurii, așa că numai oamenii reali le pot interpreta. Cu imaginile, există un fel de distorsiune care îngreunează utilizarea OCR de către roboți.

Utilizatorii trebuie să introducă ceea ce văd în câmpul furnizat și, dacă răspund corect, li se acordă acces la zona web protejată. Boții simpli vor returna litere neregulate și de neînțeles sau vor face clic pe imagini greșite, făcând evident că nu sunt oameni.

Pe de altă parte, roboții avansați pot folosi o varietate de strategii pentru a citi aceste imagini distorsionate și a ocoli testul cu ușurință. Ca rezultat, CAPTCHA-uri mai sofisticate, cum ar fi reCAPTCHA de la Google, au fost dezvoltate pentru a crește securitatea site-ului.

Tipuri de CAPTCHA

CAPTCHA se bazează fie pe text, fie pe imagine, fie pe sunet, iar șansele sunt că le-ați întâlnit pe toate trei.

Text CAPTCHA

Acestea sunt cele mai frecvente și vă cer să priviți textul distorsionat pentru a identifica mesajul real. Uneori sunt lumi reale, iar alteori, ele sunt simple farfurie, distorsionate de formă, dimensiune, majuscule sau orientare.

Dacă nu reușiți suficiente text CAPTCHA, veți primi de obicei o solicitare pentru a încerca o metodă diferită de verificare, cum ar fi o imagine CAPTCHA.

CAPTCHA-uri imagine

O imagine CAPTCHA poate fi destul de deranjantă atunci când nu pare că există un răspuns clar. Un exemplu grozav este o imagine în care trebuie să selectați toate grilele cu semafoare, chiar dacă lumina este împărțită între două grile.

Din fericire, puteți apăsa oricând butonul de reîmprospătare pentru a obține o altă imagine cu zero consecințe. Sau puteți încerca CAPTCHA audio.

CAPTCHA audio

Cu CAPTCHA-urile audio, utilizatorii pot asculta o scurtă înregistrare și pot introduce cuvântul pe care îl aud. Acestea sunt eficiente deoarece roboții nu pot folosi recunoașterea vorbirii pentru a diferenția caracterele pronunțate de zgomotul de fundal din înregistrare. Poate fi ușor incomod de auzit pentru oameni, dar CAPTCHA-urile audio sunt destul de eficiente.

Google reCAPTCHA

Google reCAPTCHA este o versiune mai avansată a testelor CAPTCHA. În loc să genereze pur și simplu un test de verificare la întâmplare, acesta analizează modelul mouse-ului și decide ce test să arate.

Dacă sistemul crede că ești om, vei primi un simplu „eu” sunt, nu un robot. CAPTCHA. În caz contrar, va trebui să finalizați un test mai dificil, cum ar fi să faceți clic pe toate bărcile dintr-un grup de imagini.

Cum ocolesc hackerii CAPTCHA?

Hackerii au acum mai ușor să ocolească provocările CAPTCHA normale și iată câteva dintre strategiile pe care le folosesc.

Inteligență artificială (AI)

În cartea sa, Deep Learning for Computer Vision with Python, Adrain Rosebrock își prezintă strategia de a ocoli CAPTCHA pe site-ul E-ZPass New York. Abordarea sa a inclus descărcarea a sute de exemple de imagini pentru a-și antrena sistemul, deoarece nu avea acces la codul sursă și apoi eliberarea AI învățată pe sistem.

CAPTCHA-urile cu un cod sursă deschis sunt, în teorie, mai ușor de spart, deoarece hackerii pot folosi sursa pentru a-și antrena sistemul de învățare automată pentru a ocoli testele CAPTCHA, indiferent de dificultate. Oricine poate trece examenul dacă cunoașteți toate întrebările posibile.

Faceți clic pe ferme

Fermele clic sunt puțin mai puțin sofisticate decât AI, dar își fac treaba la fel. Într-o fermă de clicuri, lucrătorii prost plătiți dau clic pe site-uri web care încearcă să ocolească măsurile de securitate care sunt imposibile pentru roboți. Deci, în timp ce un CAPTCHA poate împiedica un bot, un om va rezolva CAPTCHA-urile fără dificultate și în succesiune rapidă.

Există, de asemenea, roboți cyborg, care sunt cei conduși parțial de oameni pentru procese complexe, cum ar fi introducerea de CAPTCHA. Cyborgii se bazează adesea în ferme de clic sau ferme de bot, adesea ocupate de doar câțiva oameni cu un întreg zid de dispozitive digitale conectate.

Consultați blogul nostru pentru o privire aprofundată asupra lumii fermelor de clic și, de asemenea, fermelor de bot.

Strategii de hacking CAPTCHA

Hack Tricks enumeră câteva dintre modalitățile prin care hackerii ocolesc cu ușurință CAPTCHA. Unele dintre ele includ verificarea codului sursă al paginii pentru soluții CAPTCHA (în cazul în care este text) sau utilizarea unei valori CAPTCHA vechi în cazul în care primesc aceeași provocare de două ori.

Alte strategii de bypass CAPTCHA includ

• Folosind OCR pentru a citi caracterele de pe ecran
• Verificarea câte imagini sunt utilizate și detectarea lor cu MD5
• Trimiterea parametrului CAPTCHA gol și să vedem dacă asta face treaba.

Serviciu de rezolvare CAPTCHA

Hackerii pot folosi, de asemenea, un serviciu de soluționare CAPTCHA pentru a obține acces la site-ul dvs. Acești furnizori de soluții CAPTCHA folosesc o varietate de abordări pe care le-am enumerat deja, de la AI la fermele de clic și chiar instrumente API simple care pot ocoli testele CAPTCHA în circumstanțe specifice.

Aceste servicii pot fi apelate prin extensii simple de browser, astfel încât să se apuce de lucru imediat, botul vă accesează site-ul.

Erori de securitate

În 2018, un cercetător de securitate a găsit o eroare care i-a permis să ocolească reCAPTCHA de la Google. Esența de bază este că aplicațiile web care folosesc reCAPTCHA trebuie să creeze cererea într-un mod specific și, uneori, cererea este nesigură. Când s-a întâmplat acest lucru, atacatorii puteau ocoli reCAPTCHA de fiecare dată. (Andres Riancho)

De atunci, eroarea a fost corectată și nu mai este posibilă recrearea bypass-ului reCAPTCHA. Cu toate acestea, acesta este un prim exemplu al modului în care atacatorii pot exploata erorile și punctele slabe pentru a ocoli CAPTCHA site-ului dvs.

De ce Google reCAPTCHA este mai greu de ocolit

Ceea ce este interesant este că reCAPTCHA analizează comportamentul macro al utilizatorului și adaptează provocările după cum este necesar. Așa că, de exemplu, majoritatea roboților nu vor primi niciodată testul „Nu sunt un robot”, deoarece nu interacționează cu paginile web așa cum o face un om.

Chiar și atunci când întâlnesc mesajul simplu de bifă, nu este atât de simplu ca să bifezi caseta. Dacă ar fi, roboții ar putea să apuce imaginile de pe ecran, să folosească OCR și să afle unde să facă clic.

Aceste teste analizează, de asemenea, modelul de mișcare a mouse-ului atunci când dați clic. Mișcările mouse-ului uman sunt foarte neplăcute și sacadate, iar atunci când CAPTCHA detectează asta, vă lasă să treceți. Un robot se va mișca mai lin și va declanșa un test mai greu.

Ce se întâmplă când hackerii îți sparg CAPTCHA?

Orice hacker independent poate trece peste CAPTCHA-ul dvs. pur și simplu completând-o așa cum ar face un om. Pericolul crește atunci când sunt capabili să ocolească CAPTCHA-ul dvs. cu roboți. Asta înseamnă că vă pot bombarda serverul cu multe solicitări, vă pot supraîncărca resursele sau, eventual, vă pot fura datele.

Creșterea comentariilor spam

Fără un „gatekeeper” CAPTCHA eficient, vă puteți aștepta la comentarii spam care promovează orice, de la servicii rău intenționate la alte site-uri web. Dacă site-ul dvs. este setat să aprobe mai întâi comentariile, acestea nu vor apărea publicului larg. Cu toate acestea, veți fi înecat de zeci sau chiar sute de comentarii irelevante pe backend.

Date de analiză nevalide

Boții vor denatura traficul de pe pagina dvs. web și vor face datele dvs. analitice inutile. Dacă hackerii găsesc o modalitate de a trece peste CAPTCHA, este posibil să observați o creștere a traficului cu zero conversii sau să descoperiți că utilizatorii își abandonează cărucioarele și nu veți putea da seama de ce.

Cumpărături nesigure

Dacă dețineți un site de comerț electronic, un CAPTCHA ocolit înseamnă că hackerii pot efectua o serie de activități frauduloase. Aceasta poate include accesarea conturilor de utilizator, efectuarea de achiziții cu carduri furate (carding) și chiar accesarea altor zone sensibile ale site-ului dvs., cum ar fi baza de date.

Mai puține resurse web

Cu acces la site-ul dvs. web, roboții vă vor bombarda site-ul, trimițând cereri de conectare și ocupând resurse limitate. Aceasta înseamnă că utilizatorii legitimi vor avea acces încetinit sau chiar inexistent la site-ul dvs., ceea ce poate fi dăunător pentru afacerea dvs. Statisticile arată că 53% dintre oameni vor merge la un concurent dacă site-ul tău durează mai mult de 3 secunde pentru a se încărca (Digital).

Ce poți face în cazul în care CAPTCHA ocolește roboții?

Adăugați reCAPTCHA pe site-ul dvs. web

reCAPTCHA este mult mai greu de ocolit decât CAPTCHA și este o idee bună să-l adăugați pe site-ul dvs. web. Este gratuit de utilizat pentru primele 1 milion de evaluări pe site-ul dvs. pe lună, ușor de instalat și tot ce trebuie să faceți este să vă înscrieți pentru o pereche de chei API pentru site-ul dvs.

Instrucțiunile specifice sunt prezentate pe pagina de instrucțiuni dedicată.

Bot Zapping prin ClickCease

Bot Zapping de la ClickCease adaugă un strat suplimentar de securitate site-ului dvs., împiedicând accesul celor mai comune forme de trafic automatizat pe site-ul dvs. Serviciul scanează activitatea vizitatorilor dvs. pentru semne de prezență a unui robot și îi împiedică să interacționeze cu site-ul dvs.

Asta înseamnă că chiar dacă trec prin CAPTCHA, Bot Zapping îi va identifica și șterge de pe site-ul dvs., permițând doar clienților autentici să treacă.

Linia de jos

Tacticile hackerilor devin din ce în ce mai sofisticate pe măsură ce devin mai bune în ocolirea sistemelor de apărare simple precum CAPTCHA, dar, din fericire, aveți acces și la măsuri avansate.

Bot Zapping de la ClickCease se va asigura că acele programe automate nu ocolesc captchas-urile sau nu încurcă canalele sau formularele dvs. de marketing.

Încercați ClickCease gratuit timp de 7 zile și vedeți cât de multă diferență aduce blocarea traficului automat pe site-ul dvs.