• Anasayfa
  • Nesne
  • SEO
  • Dolandırıcılar Sitenizdeki CAPTCHA'ları Atlamak için Botları Nasıl Kullanıyor?

Dolandırıcılar Sitenizdeki CAPTCHA'ları Atlamak için Botları Nasıl Kullanıyor?

Yayınlanan: 2022-09-19

Web sitenize erişmek isteyen saldırganlar için CAPTCHA adlı temel bir güvenlik testi harika bir savunma hattıdır. 2000 yılında kuruluşundan bu yana, gelişmiş botları yakalama ve web sitelerini güvende tutma konusunda giderek daha sofistike hale geldi.

Ancak bir devrin sonuna gelmiş olabiliriz çünkü araştırmalara göre geçilen tüm CAPTCHA'ların yarısı gerçek kullanıcılar değil botlar tarafından tamamlanıyor. Bu, botları kontrol eden saldırganların spam yorumlar bırakmaktan ve geçersiz formlar göndermekten web sitenizin sağladığı diğer hizmetleri kötüye kullanmaya kadar her şeyi yapabileceği anlamına gelir.

Bunun ışığında, şimdi CAPTCHA'nın nasıl çalıştığını, bir CAPTCHA çözücüsünün bunu nasıl bu kadar kolay atlayabildiğini ve web siteniz için ne anlama geldiğini anlamanın tam zamanı.

CAPTCHA tam olarak nedir?

CAPTCHA açıklayıcı bir kısaltmadır ve Computers and Humans Apart'ı anlatmak için Tamamen Otomatik Kamu Turing testi anlamına gelir. CAPTCHA testi, insan kullanıcılarının bir web sitesine erişmesine izin verir, ancak botları dışarıda tutar. CAPTCHA, spam içerikli blog yorumlarından yetkisiz indirmelere kadar her şeyi korur.

Bir CAPTCHA testi, kullanıcılara botlar tarafından okunamayan görüntüleri gösterecektir. Harfler genellikle şekilsizdir, silinir veya bir sürü anlamsız kelimeyle karıştırılır, bu yüzden onları yalnızca gerçek insanlar yorumlayabilir. Görüntülerde, botların OCR kullanmasını zorlaştıran bir tür bozulma vardır.

Kullanıcıların gördüklerini sağlanan alana girmeleri gerekir ve doğru yanıtlarsa korumalı web alanına erişim izni verilir. Basit botlar düzensiz ve anlaşılmaz harfler döndürecek veya yanlış resimlere tıklayarak insan olmadıklarını açıkça ortaya koyacaktır.

Gelişmiş botlar ise bu bozuk görüntüleri okumak ve testi kolayca atlamak için çeşitli stratejiler kullanabilir. Sonuç olarak, web sitesi güvenliğini artırmak için Google'ın reCAPTCHA'sı gibi daha karmaşık CAPTCHA'lar geliştirilmiştir.

CAPTCHA Türleri

CAPTCHA, metin tabanlı, resim tabanlı veya ses tabanlıdır ve büyük olasılıkla üçüyle de karşılaşmışsınızdır.

Metin CAPTCHA'ları

Bunlar en yaygın olanlarıdır ve gerçek mesajı belirlemek için bozuk metne bakmanızı gerektirir. Bazen gerçek dünyalardır ve diğer zamanlarda düz anlamsızdırlar, şekil, boyut, büyük harf kullanımı veya yönelime göre çarpıtılırlar.

Yeterince metin CAPTCHA'sında başarısız olursanız, genellikle bir CAPTCHA görüntüsü gibi farklı bir doğrulama yöntemi denemeniz istenir.

Resim CAPTCHA'ları

Bir CAPTCHA görüntüsü, net bir cevap yokmuş gibi göründüğünde oldukça zahmetli olabilir. Harika bir örnek, ışık iki ızgara arasında bölünmüş olsa bile, trafik ışıklarına sahip tüm ızgaraları seçmeniz gereken bir resimdir.

Neyse ki, sıfır sonuçla başka bir görüntü elde etmek için her zaman yenile düğmesine basabilirsiniz. Veya sesli CAPTCHA'yı deneyebilirsiniz.

Ses CAPTCHA

Ses CAPTCHA'ları ile kullanıcılar kısa bir kaydı dinleyebilir ve duydukları kelimeyi yazabilirler. Bunlar etkilidir çünkü botlar, telaffuz edilen karakterleri kayıttaki arka plan gürültüsünden ayırt etmek için konuşma tanımayı kullanamaz. İnsanlar için duymak biraz rahatsız edici olabilir, ancak sesli CAPTCHA'lar oldukça etkilidir.

Google reCAPTCHA

Google reCAPTCHA, CAPTCHA testlerinin daha gelişmiş bir sürümüdür. Rastgele bir doğrulama testi oluşturmak yerine, fare modelinizi analiz eder ve hangi testin gösterileceğine karar verir.

Sistem sizin insan olduğunuzu düşünürse, basit bir “Ben”im, robot değil” onay işareti alırsınız CAPTCHA Aksi takdirde, bir grup resimdeki tüm teknelere tıklamak gibi daha zor bir testi tamamlamanız gerekir.

Bilgisayar korsanları CAPTCHA'yı nasıl atlar?

Bilgisayar korsanları artık normal CAPTCHA zorluklarını atlayarak daha kolay bir zamana sahipler ve işte kullandıkları stratejilerden bazıları.

Yapay Zeka (AI)

Adrain Rosebrock, Deep Learning for Computer Vision with Python adlı kitabında, E-ZPass New York web sitesinde CAPTCHA'yı atlama stratejisini ortaya koyuyor. Yaklaşımı, kaynak koduna erişimi olmadığı için sistemini eğitmek için yüzlerce örnek görüntü indirmeyi ve ardından öğrenilen yapay zekayı sistemde yayınlamayı içeriyordu.

Açık kaynak kodlu CAPTCHA'ları teorik olarak kırmak daha kolaydır, çünkü bilgisayar korsanları, zorluğu ne olursa olsun CAPTCHA testlerini atlamak için makine öğrenim sistemlerini eğitmek için kaynağı kullanabilir. Tüm olası soruları biliyorsanız, herkes sınavı geçebilir.

çiftlikleri tıklayın

Tıklama çiftlikleri, AI'dan biraz daha az karmaşıktır, ancak işi aynı şekilde yaparlar. Bir tıklama çiftliğinde, düşük ücretli işçiler, botlar için imkansız olan güvenlik önlemlerini atlamaya çalışan web sitelerine tıklarlar. Bu nedenle, bir CAPTCHA bir botu boğabilirken, bir insan CAPTCHA'ları zorluk çekmeden ve hızlı bir şekilde art arda çözecektir.

CAPTCHA'lara girmek gibi karmaşık süreçler için kısmen insanlar tarafından yönetilen cyborg botlar da vardır. Cyborg'lar genellikle tıklama çiftliklerinde veya bot çiftliklerinde bulunur ve çoğu zaman bağlı dijital cihazlardan oluşan bir duvara sahip sadece birkaç insan tarafından çalıştırılır.

Tıklama çiftlikleri ve ayrıca bot çiftlikleri dünyasına derinlemesine bir bakış için blogumuza göz atın.

CAPTCHA hack stratejileri

Hack Tricks, bilgisayar korsanlarının CAPTCHA'yı kolayca aşma yollarından bazılarını listeler. Bazıları, CAPTCHA çözümleri için sayfanızın kaynak kodunu kontrol etmeyi (metin olması durumunda) veya aynı zorluğu iki kez almaları durumunda eski bir CAPTCHA değerini kullanmayı içerir.

Diğer CAPTCHA baypas stratejileri şunları içerir:

  • Ekrandaki karakterleri okumak için OCR'yi kullanma
  • Kaç tane görüntünün kullanıldığını kontrol etme ve bunları MD5 ile tespit etme
  • CAPTCHA parametresini boş göndermek ve bunun işe yarayıp yaramadığını görmek.

CAPTCHA çözme hizmeti

Bilgisayar korsanları, sitenize erişmek için bir CAPTCHA çözücü hizmeti de kullanabilir. Bu CAPTCHA çözüm sağlayıcıları, AI'dan tıklama çiftliklerine ve hatta belirli koşullar altında CAPTCHA testlerini atlayabilen basit API araçlarına kadar daha önce listelediğimiz çeşitli yaklaşımları kullanır.

Bu hizmetler, basit tarayıcı uzantıları aracılığıyla çağrılabilir, böylece bot sitenize eriştiğinde hemen çalışmaya başlarlar.

Güvenlik Hataları

2018'de bir güvenlik araştırmacısı, Google'ın reCAPTCHA'sını atlamasına izin veren bir hata buldu. Temel fikir, reCAPTCHA kullanan web uygulamalarının isteği belirli bir şekilde oluşturması gerektiğidir ve bazen istek güvenli değildir. Bu olduğunda, saldırganlar her seferinde reCAPTCHA'yı atlayabilirdi. (Andres Riancho)

Hata o zamandan beri düzeltildi ve artık reCAPTCHA baypasını yeniden oluşturmak mümkün değil. Ancak bu, saldırganların sitenizin CAPTCHA'sını atlamak için hatalardan ve zayıflıklardan nasıl yararlanabileceğinin en iyi örneğidir.

Google reCAPTCHA'yı atlamak neden daha zor?

İlginç olan, reCAPTCHA'nın kullanıcı makro davranışını analiz etmesi ve zorlukları gerektiği gibi uyarlamasıdır. Örneğin, çoğu bot asla "Ben robot değilim" testini alamaz çünkü web sayfalarıyla bir insanın yaptığı gibi etkileşime girmezler.

Basit onay işareti istemiyle karşılaştıklarında bile, kutuyu işaretlemek kadar basit değildir. Öyle olsaydı, botlar ekrandaki görüntüleri yakalayabilir, OCR kullanabilir ve nereye tıklanacaklarını bulabilir.

Bu testler, tıklamaya gittiğinizde fare hareketinin modelini de analiz eder. İnsan fare hareketleri çok hantal ve sarsıntılı ve CAPTCHA bunu algıladığında geçmenize izin veriyor. Bir robot daha düzgün hareket edecek ve daha zor bir testi tetikleyecektir.

Bilgisayar korsanları CAPTCHA'nızı kırdığında ne olur?

Herhangi bir bağımsız bilgisayar korsanı, CAPTCHA'nızı bir insan gibi doldurarak geçebilir. CAPTCHA'nızı botlarla atlayabildiklerinde tehlike artar. Bu, sunucunuzu birçok istekle bombalayabilecekleri, kaynaklarınızı aşırı yükleyebilecekleri veya muhtemelen verilerinizi çalabilecekleri anlamına gelir.

Artan spam yorumları

Etkili bir CAPTCHA “bekçisi” olmadan, kötü amaçlı hizmetlerden diğer web sitelerine kadar her şeyin reklamını yapan spam yorumları bekleyebilirsiniz. Web siteniz önce yorumları onaylayacak şekilde ayarlanmışsa, bunlar genel halka görünmez. Ancak, arka uçta düzinelerce hatta yüzlerce alakasız yorum tarafından boğulacaksınız.

Geçersiz analiz verileri

Botlar, web sayfanızdaki trafiği çarpıtır ve analitik verilerinizi işe yaramaz hale getirir. Bilgisayar korsanları CAPTCHA'nızı geçmenin bir yolunu bulursa, sıfır dönüşümle trafikte bir artış fark edebilir veya kullanıcıların alışveriş sepetlerini terk ettiğini fark edebilirsiniz ve bunun nedenini bulamayacaksınız.

Güvenli olmayan alışveriş kasası

Bir e-ticaret web siteniz varsa, atlanmış bir CAPTCHA, bilgisayar korsanlarının bir dizi dolandırıcılık faaliyeti gerçekleştirebileceği anlamına gelir. Bu, kullanıcı hesaplarına erişmeyi, çalıntı kartlarla alışveriş yapmayı (taraklama) ve hatta web sitenizin veritabanınız gibi diğer hassas alanlarına erişmeyi içerebilir.

Daha az web kaynağı

Web sitenize erişimle, botlar web sitenizi bombalayacak, bağlantı istekleri gönderecek ve sınırlı kaynakları alacaktır. Bu, meşru kullanıcıların web sitenize erişimini yavaşlatacağı veya hatta hiç erişimi olmayacağı anlamına gelir ve bu da işinize zarar verebilir. İstatistikler, web sitenizin yüklenmesi 3 saniyeden uzun sürerse (Dijital) insanların %53'ünün bir rakibe gideceğini gösteriyor.

CAPTCHA'nın botları atlaması konusunda ne yapabilirsiniz?

Web sitenize reCAPTCHA ekleyin

reCAPTCHA'yı atlamak, CAPTCHA'dan çok daha zordur ve bu nedenle, onu web sitenize eklemek iyi bir fikirdir. Her ay web sitenizdeki ilk 1 milyon değerlendirme için kullanmak ücretsizdir, kurulumu kolaydır ve tek yapmanız gereken siteniz için bir API anahtar çiftine kaydolmaktır.

Özel talimatlar, özel talimatlar sayfasında düzenlenmiştir.

ClickCease ile Bot Zaplama

ClickCease'in Bot Zapping özelliği, web sitenize ek bir güvenlik katmanı ekleyerek en yaygın otomatik trafik biçimlerinin sitenize erişmesini engeller. Hizmet, bot varlığının açıklayıcı işaretleri için ziyaretçi etkinliğinizi tarar ve web sitenizle etkileşime girmelerini engeller.

Bu, CAPTCHA'nızı geçseler bile Bot Zapping'in onları tanımlayıp web sitenizden temizleyerek yalnızca gerçek müşterilerin geçmesine izin vereceği anlamına gelir.

Alt çizgi

Hacker taktikleri, CAPTCHA gibi basit savunma sistemlerini atlamada daha iyi hale geldikçe daha karmaşık hale geliyor, ancak neyse ki gelişmiş önlemlere de erişiminiz var.

ClickCease'den Bot Zapping, bu otomatik programların captcha'ları atlamamasını veya pazarlama kanallarınız veya formlarınızı karıştırmamasını sağlar.

ClickCease'i 7 gün boyunca ücretsiz deneyin ve otomatik trafiği engellemenin sitenizde ne kadar fark yarattığını görün.