CAPTCHA — базовый тест безопасности, который используется владельцами сайтов для блокировки нашествий ботов. Он был придуман в начале 2000-х, совершенствовался и помогал защищать ресурсы рекламодателей от генерации фальшивого трафика и лидов.
Однако век капчи подходит к концу, так как, согласно последним исследованиям экспертов в области кибербезопасности, половина всех пройденных тестов принадлежит именно ботам, а не реальными пользователями. Это значит, что злоумышленники, контролирующие ботов, могут делать все что угодно: от спама комментариями и заполнения форм на сайтах до злоупотребления услугами, которые предлагает рекламодатель, и скупки товаров.
Поэтому сейчас самое время понять, как работает капча и как боты могут их так легко обойти.
Что такое CAPTCHA?
CAPTCHA (англ. Completely Automated Public Turing test to tell Computers and Humans Apart) — это аббревиатура, которая расшифровывается как «Полностью автоматизированный публичный тест Тьюринга, чтобы различать компьютеры и людей». Тест CAPTCHA дает возможность пользователям получить доступ к сайту, но не пропускает ботов, так как состоит из когнитивно-визуальных задач и головоломок, которые способны решить только люди.
Капча показывает пользователям изображения, нечитаемые ботами. Что касается знаков — букв и/или цифр, то они, как правило, деформированы, размыты, могут иметь разный шрифт и регистр, представляют собой набор букв в любом порядке, поэтому только реальные пользователи могут их правильно интерпретировать. Изображения могут представлять собой головолоски, пазлы, состоять из вопроса в виде картинок-ответов и т. д.
Пользователи, перешедшие на сайт с CAPTCHA, должны ввести в поле ответа то, что видят на картинке. Правильный ответ пропускает их дальше — к контенту ресурса.
Простые, немодифицированные боты пройти такой тест не смогут — они просто не различат то, что изображено на картинке. Однако злоумышленники развивают автоматизированные скрипты, чтобы они могли различать текст на изображении. По сути, добавляют функционал наподобие сервисов конвертации текстов из PDF в текстовый формат.
Именно поэтому специалистами были разработаны новые, более сложные варианты капчи для повышения безопасности сайтов. К ним относится, например, Google reCAPTCHA.
Типы CAPTCHA
CAPTCHA может быть текстовой, графической или звуковой. Вполне вероятно, многие пользователи сталкивались со всеми тремя видами хотя бы раз в жизни.
Текстовые
Это самый распространенный тип капчи. Пользователь должен прочесть изображенный текст и ввести его в поле ответа (или же ввести только нужную часть). Тесты могут представлять собой полноценное слово или фразу или же простой набор букв и цифр.
Если пользователь не может пройти текстовую CAPTCHA, то ему может быть предложено прохождение метода проверки, например с изображением.
С изображением
У реальных пользователей могут возникать трудности с прохождением такого тип капчи. Наверняка, вам попадался набор картинок, где нужно выделить все с изображением светофора. И этот светофор оказывался на двух смежных картинках сразу. У человека сразу возникнет вопрос: «выбирать только то изображение, где основная часть светофора или же две картинки сразу?».
К счастью, CAPTCHA можно обновить и получить для прохождения другую картинку, где нужно выбрать автобусы или лодки… которых может быть вообще не изображено на представленном тесте.
Аудио
На капча с аудио пользователи должны прослушать короткую запись и ввести слово, которое они услышали. Такие тесты эффективны, поскольку боты не могут использовать функцию распознавания речи. Как правило, в них также встраивается дополнительный шум, чтобы проверку было сложнее пройти.
Google reCAPTCHA
Google reCAPTCHA — это более продвинутая версия проверки на ботов. Вместо генерации случайного теста он анализирует паттерн поведения пользователя (работа мышью) и решает, какой тест показать.
Если система принимает решение, что пользователь не бот, ему будет предложено просто поставить галочку напротив опции «Я не робот». В противном случае ему придется пройти более сложный тест, например, отметить все картинки, на которых изображены лодки, пешеходные переходы и т. п.
Как злоумышленники обходят CAPTCHA
Мошенники регулярно разрабатывают и внедряют стратегии для прохождения CAPTCHA. Вот некоторые из них.
Искусственный интеллект (ИИ)
В своей книге «Углубленное изучение компьютерного зрения с Python» Адриан Роузброк показывает стратегию обхода CAPTCHA на сайте E-ZPass (электронный транспондер для оплаты проезда в Нью-Йорке). Так как у него не было доступа к исходному коду ПО, то подход включал загрузку сотен примеров изображений для обучения системы, а затем запуск изученных и полученных данных ИИ.
CAPTCHA с открытым исходным кодом теоретически легче взломать. Киберпреступники могут использовать исходный код для обучения своих скриптов и обхода тестов, независимо от их сложности. Любой человек может сдать экзамен, если перед ним будут лежат ответы на все возможные вопросы.
Клик-фермы
Клик-фермы не намного функциональнее ИИ, однако все равно выполняют свою работу. На ферме используется низкооплачиваемый труд реальных людей, которые проходят капча со множества устройств, которыми управляют, вместо ботов. В то время как CAPTCHA может поставить бота в тупик, человек будет решать их без труда и в кратчайшие сроки.
Существуют также боты-киборги (cyborg bots), которыми частично управляют люди для выполнения сложных процессов, таких как ввод капча. Киборги часто базируются на фермах кликов или фермах ботов.
Взлом CAPTCHA
Некоторые злоумышленники применяют технологии для чтения исходного кода страницы на наличие решений CAPTCHA (если это текст) или поиска ответа, который используется повторно.
Также стратегии обхода капча включают:
- Использование технологии OCR (оптическое распознавание символов) для чтения символов на экране.
- Проверка количества используемых изображений и их решение с помощью MD5 (алгоритм хеширования).
- Отправка пустого параметра. А вдруг «прокатит»?
В ход идут любые средства и технологии.
Сервис разгадывания CAPTCHA
Также злоумышленники могут использовать специальные сервисы решения CAPTCHA. Их поставщики могут использовать все вышеперечисленные нами подходы: от ИИ до ферм кликов и даже простые инструменты API. Такие сервисы можно устанавливать как расширения для браузеров для автоматической работы с капча.
Ошибки безопасности
В 2018 году эксперт по кибербезопасности Андрес Рианчо обнаружил уязвимость reCAPTCHA Google. Суть заключалась в том, что приложения, использующие этот тест, создавали и отправляли запрос с нарушением безопасности, то есть создавая уязвимость. Благодаря ей злоумышленники могли обходить reCAPTCHA.
На данный момент Google исправил ошибку. Однако это яркий пример того, как злоумышленники могут использовать уязвимости для обхода капча на сайтах.
Почему Google reCAPTCHA сложнее обойти
Что интересно, reCAPTCHA анализирует поведение пользователя и адаптирует задачи по мере необходимости. Так, например, большинство ботов никогда не пройдут тест «Я не робот», потому что они не взаимодействуют с веб-страницами так, как это делает человек.
Даже когда роботы сталкиваются с простым чек-боксом, его не так легко пройти. В противном случае боты могли бы захватывать изображения на экране, применять технологию распознавания текста и понимать, куда нажимать.
Тесты reCAPTCHA также анализируют характер движения мыши при нажатии. Эти движения непредсказуемы и отрывисты. Если CAPTCHA обнаруживает такое поведение, то пропускает пользователя. Движения курсора у робота будут более плавными и однотипными.
Что происходит, когда мошенники обходят CAPTCHA
Любой киберпреступник может обойти капча — просто заполнит его, как и любой другой пользователь. Но опасность возрастает, когда он может сделать это с помощью армии своих ботов. А это значит, что злоумышленник способен создать целенаправленную масштабную атаку на сервер, перегружая ресурсы.
Увеличение количества спама
Без эффективной защиты CAPTCHA можно ожидать наплыва спама в комментариях с кучей ссылок на вредоносные сервисы и мошеннические сайты. Если на вашем ресурсе отсутствует модерация комментариев или их можно публиковать без прохождения капчи, то велика вероятность спам-атаки.
Неверные данные аналитики
Боты искажают трафик на сайте и портят всю статистику по переходам и поведению пользователей на сайте. Если злоумышленники найдут способ обхода CAPTCHA, то будет заметен всплеск трафика с нулевыми конверсиями. Вполне вероятно, что возрастет количество брошенных корзин на сайтах интернет-магазинов.
Небезопасная проверка покупок
Если у вас есть интернет-магазин, обход CAPTCHA означает, что мошенники смогут заполучить доступ к учетным записям пользователей, конфиденциальным данным ресурса (например, база данных) и даже совершать покупки с помощью украденных банковских карт (кардинг).
Снижение производительности ресурса
Если у злоумышленника есть доступ к сайту, боты будут бомбардировать его трафиком, отправляя множество запросов на подключение и занимая ограниченные ресурсы. Это означает, что реальные пользователи или не смогут вовсе попасть на сайт или время подключения будет значительно увеличено. Такие атаки могут нанести ущерб бизнесу.
Статистика показывает, что 53% людей уйдут к конкуренту, если ваш сайт загружается дольше 3 секунд.
Как защитить сайт от ботов
Добавьте reCAPTCHA на свой сайт
Тест reCAPTCHA гораздо сложнее обойти, чем простой капча, поэтому рекомендуется добавить его на свой сайт. Его можно использовать бесплатно для первого миллиона проверок за месяц, его легко установить и все, что нужно будет сделать, это подключить сайт к нему по API. Более подробная информация представлена на сайте.
Установите антибот от Botfaqtor
Блокировка ботов с помощью Botfaqtor создает дополнительный уровень защиты сайта, предотвращая генерацию недействительных кликов по рекламе и автоматизированного трафика. Сервис сканирует действия посетителей сайта по более 100 техническим и поведенческим параметрам, выявляет роботизированное поведение и блокирует их взаимодействие с ресурсом.
Это означает, что даже если они пройдут проверку CAPTCHA, антибот Botfaqtor идентифицирует их и запретит доступ к сайту.
Попробуйте антибот от Botfaqtor бесплатно в течение 7 дней и узнайте всё о качестве своего трафика.
