Как мошенники используют ботов для обхода CAPTCHA на вашем сайте

Для злоумышленников, желающих получить доступ к вашему веб-сайту, базовый тест безопасности, называемый CAPTCHA, является отличной линией защиты. С момента своего создания в 2000 году он становился все более изощренным в отлове продвинутых ботов и обеспечении безопасности веб-сайтов.

Но мы можем быть в конце эпохи, потому что, согласно исследованиям, половина всех пройденных CAPTCHA заполняется ботами, а не реальными пользователями. Это означает, что злоумышленники, контролирующие ботов, могут делать все, от оставления спам-комментариев и отправки недействительных форм до злоупотребления другими услугами, предоставляемыми вашим сайтом.

В свете этого сейчас самое время понять, как работает CAPTCHA, как решатель CAPTCHA может так легко ее обойти и что это значит для вашего веб-сайта.

Что такое CAPTCHA?

CAPTCHA — это описательная аббревиатура, расшифровывающаяся как « Полностью автоматизированный публичный тест Тьюринга, чтобы различать компьютеры и людей» . Тест CAPTCHA позволяет пользователям получить доступ к веб-сайту, но не допускает ботов. CAPTCHA защищает все, от спам-комментариев в блогах до несанкционированных загрузок.

Тест CAPTCHA покажет пользователям изображения, нечитаемые ботами. Что касается букв, то они обычно деформированы, размыты или смешаны с большим количеством тарабарщины, поэтому только настоящие люди могут их интерпретировать. С изображениями есть какое-то искажение, из-за которого ботам сложнее использовать OCR.

Пользователям необходимо ввести то, что они видят, в соответствующее поле, и если они ответят правильно, им будет предоставлен доступ к защищенной веб-области. Простые боты будут возвращать неправильные и непонятные буквы или щелкать не те изображения, делая очевидным, что они не люди.

С другой стороны, продвинутые боты могут использовать различные стратегии для чтения этих искаженных изображений и легкого обхода теста. В результате были разработаны более сложные CAPTCHA, такие как Google reCAPTCHA, для повышения безопасности веб-сайтов.

Типы CAPTCHA

CAPTCHA может быть текстовой, графической или звуковой, и есть вероятность, что вы сталкивались со всеми тремя.

Текстовые CAPTCHA

Это самые распространенные, и они требуют, чтобы вы посмотрели на искаженный текст, чтобы определить настоящее сообщение. Иногда это настоящие миры, а иногда — обычная тарабарщина, искаженная формой, размером, заглавными буквами или ориентацией.

Если вы не пройдёте достаточное количество текстовых CAPTCHA, вам обычно будет предложено попробовать другой метод проверки, например изображение CAPTCHA.

Изображение CAPTCHA

Изображение CAPTCHA может быть довольно проблематичным, если не похоже, что на него есть четкий ответ. Отличным примером является картинка, на которой вам нужно выбрать все сетки со светофорами, даже несмотря на то, что свет разделен между двумя сетками.

К счастью, вы всегда можете нажать кнопку обновления, чтобы получить другое изображение без каких-либо последствий. Или вы можете попробовать аудио CAPTCHA.

Аудио CAPTCHA

С аудио CAPTCHA пользователи могут прослушать короткую запись и ввести слово, которое они услышат. Они эффективны, потому что боты не могут использовать распознавание речи, чтобы отличить произносимые символы от фонового шума в записи. Людям это может быть немного неудобно слышать, но аудио CAPTCHA довольно эффективны.

Google reCAPTCHA

Google reCAPTCHA — это более продвинутая версия тестов CAPTCHA. Вместо того, чтобы просто генерировать проверочный тест случайным образом, он анализирует ваш шаблон мыши и решает, какой тест показать.

Если система думает, что вы человек, вы получите простую галочку «Я, а не робот» CAPTCHA. В противном случае вам придется пройти более сложный тест, например, щелкнуть все лодки в группе изображений.

Как хакеры обходят CAPTCHA?

Хакерам теперь легче обходить обычные вызовы CAPTCHA, и вот некоторые из стратегий, которые они используют.

Искусственный интеллект (ИИ)

В своей книге Deep Learning for Computer Vision with Python Эдрин Роузброк излагает свою стратегию обхода CAPTCHA на веб-сайте E-ZPass в Нью-Йорке. Его подход включал загрузку сотен примеров изображений для обучения его системы, поскольку у него не было доступа к исходному коду, а затем запуск изученного ИИ в системе.

CAPTCHA с открытым исходным кодом теоретически легче взломать, потому что хакеры могут использовать исходный код для обучения своей системы машинного обучения обходу тестов CAPTCHA, независимо от сложности. Любой может сдать экзамен, если вы знаете все возможные вопросы.

Нажмите фермы

Кликовые фермы немного менее сложны, чем ИИ, но они все равно выполняют свою работу. На ферме кликов низкооплачиваемые работники кликают по веб-сайтам, пытаясь обойти меры безопасности, которые невозможны для ботов. Таким образом, в то время как CAPTCHA может поставить бота в тупик, человек будет решать CAPTCHA без труда и в быстрой последовательности.

Существуют также боты-киборги, которыми частично управляют люди для сложных процессов, таких как ввод CAPTCHA. Киборги часто базируются на фермах кликов или фермах ботов, часто укомплектованных всего несколькими людьми с целой стеной связанных цифровых устройств.

Посетите наш блог, чтобы подробно ознакомиться с миром клик-ферм, а также ферм ботов.

Стратегии взлома CAPTCHA

Hack Tricks перечисляет некоторые способы, с помощью которых хакеры могут легко обойти CAPTCHA. Некоторые из них включают проверку исходного кода вашей страницы на наличие решений CAPTCHA (если это текст) или использование старого значения CAPTCHA на случай, если они получат одно и то же задание дважды.

Другие стратегии обхода CAPTCHA включают

• Использование OCR для чтения символов на экране
• Проверка количества используемых изображений и их обнаружение с помощью MD5
• Отправьте пустой параметр CAPTCHA и посмотрите, поможет ли это.

Сервис разгадывания CAPTCHA

Хакеры также могут использовать службу решения CAPTCHA, чтобы получить доступ к вашему сайту. Эти поставщики решений CAPTCHA используют различные подходы, которые мы уже перечислили, от ИИ до ферм кликов и даже простые инструменты API, которые могут обходить тесты CAPTCHA при определенных обстоятельствах.

Эти сервисы можно вызывать через простые расширения для браузера, чтобы они начинали работать сразу же, как бот заходит на ваш сайт.

Ошибки безопасности

В 2018 году исследователь безопасности обнаружил ошибку, которая позволила ему обойти reCAPTCHA Google. Суть в том, что веб-приложения, использующие reCAPTCHA, должны создавать запрос определенным образом, и иногда запрос небезопасен. Когда это происходило, злоумышленники могли каждый раз обходить reCAPTCHA. (Андрес Рианчо)

С тех пор ошибка была исправлена, и больше невозможно воссоздать обход reCAPTCHA. Однако это яркий пример того, как злоумышленники могут использовать ошибки и слабые места для обхода CAPTCHA вашего сайта.

Почему Google reCAPTCHA сложнее обойти

Что интересно, reCAPTCHA анализирует поведение макросов пользователя и адаптирует задачи по мере необходимости. Так, например, большинство ботов никогда не пройдут тест «Я не робот», потому что они не взаимодействуют с веб-страницами так, как это делает человек.

Даже когда они сталкиваются с простой подсказкой с галочкой, это не так просто, как поставить галочку. Если бы это было так, боты могли бы захватывать изображения на экране, использовать OCR и узнавать, куда нажимать.

Эти тесты также анализируют характер движения мыши при нажатии. Движения человеческой мыши очень неуклюжи и отрывисты, и когда CAPTCHA обнаруживает это, она пропускает вас. Робот будет двигаться более плавно и запускать более сложные испытания.

Что происходит, когда хакеры взламывают вашу CAPTCHA?

Любой независимый хакер может обойти вашу CAPTCHA, просто заполнив ее, как человек. Опасность возрастает, когда они могут обойти вашу CAPTCHA с помощью ботов. Это означает, что они могут бомбардировать ваш сервер множеством запросов, перегружать ваши ресурсы или, возможно, украсть ваши данные.

Увеличение количества спам-комментариев

Без эффективного «привратника» CAPTCHA вы можете ожидать спам-комментариев, которые рекламируют все, от вредоносных сервисов до других веб-сайтов. Если ваш веб-сайт настроен на одобрение комментариев в первую очередь, они не будут видны широкой публике. Однако вы утонете в десятках или даже сотнях нерелевантных комментариев на бэкенде.

Неверные данные аналитики

Боты исказят трафик на вашей веб-странице и сделают ваши аналитические данные бесполезными. Если хакеры найдут способ обойти вашу CAPTCHA, вы можете заметить всплеск трафика с нулевыми конверсиями или обнаружить, что пользователи бросают свои корзины, и вы не сможете понять, почему.

Небезопасная проверка покупок

Если у вас есть веб-сайт электронной коммерции, обход CAPTCHA означает, что хакеры могут выполнять ряд мошеннических действий. Это может включать доступ к учетным записям пользователей, совершение покупок с помощью украденных карт (кардинг) и даже доступ к другим конфиденциальным областям вашего веб-сайта, таким как ваша база данных.

Меньше веб-ресурсов

Имея доступ к вашему веб-сайту, боты будут бомбардировать его, отправляя запросы на подключение и занимая ограниченные ресурсы. Это означает, что доступ законных пользователей к вашему веб-сайту будет замедлен или даже отсутствовать, что может нанести ущерб вашему бизнесу. Статистика показывает, что 53% людей уйдут к конкуренту, если ваш сайт загружается дольше 3 секунд (Digital).

Что можно сделать с CAPTCHA в обход ботов?

Добавьте reCAPTCHA на свой сайт

reCAPTCHA гораздо сложнее обойти, чем CAPTCHA, поэтому рекомендуется добавить ее на свой веб-сайт. Его можно использовать бесплатно для первого миллиона оценок на вашем веб-сайте в месяц, его легко установить, и все, что вам нужно сделать, это подписаться на пару ключей API для вашего сайта.

Конкретные инструкции изложены на специальной странице инструкций.

Запуск ботов с помощью ClickCease

Заппинг ботов ClickCease добавляет дополнительный уровень безопасности вашему веб-сайту, предотвращая доступ наиболее распространенных форм автоматизированного трафика к вашему сайту. Служба сканирует действия ваших посетителей на предмет явных признаков присутствия ботов и блокирует их взаимодействие с вашим сайтом.

Это означает, что даже если они пройдут проверку CAPTCHA, Bot Zapping идентифицирует и удалит их с вашего веб-сайта, позволяя пройти только настоящим клиентам.

Нижняя линия

Тактика хакеров становится все более изощренной, поскольку они лучше обходят простые системы защиты, такие как CAPTCHA, но, к счастью, у вас также есть доступ к расширенным мерам.

Bot Zapping от ClickCease позаботится о том, чтобы эти автоматизированные программы не обходили капчи и не мешали вашим маркетинговым каналам или формам.

Попробуйте ClickCease бесплатно в течение 7 дней и узнайте, насколько автоматическая блокировка трафика влияет на ваш сайт.