CAPTCHA nie chroni już zautomatyzowanymi atakami

Jak działają farmy kliknięć rozwiązujących CAPTCHA?

Jedną z kluczowych usług dostępnych legalnie na rynku, z których korzystają cyberprzestępcy, jest obejście CAPTCHA. Takie usługi świadczą ludzkie farmy kliknięć, które rozwiązują CAPTCHA. Ich koszt dla cyberprzestępców nie jest wysoki, a zautomatyzowane metody ataków na witryny pozwalają osiągnąć wysoki zwrot z inwestycji i duże szkody po stronie firm i ich klientów. Shape Intelligence Center w F5, śledzi rozwój metod ataków hakerskich, obserwując, jak działają narzędzia i usługi, których używają cyberprzestępcy przeciwko firmom i organizacjom.

CAPTCHA[1]– czyli techniki, które pozawalają odróżnić ludzi od komputerów, zostały po raz pierwszy wdrożone pod koniec lat 90. w formie podstawowego odwrotnego testu Turinga. Celem było odfiltrowywanie w serwisach internetowych rosnącego i sprawiającego problemy ruchu botów. Pierwotnie stanowiły one skuteczną ochronę przed zautomatyzowanymi atakami. Były przeszkodą, której wczesne generacje botów nie mogły łatwo pokonać. Z czasem boty ewoluowały i zaczęły rozwiązywać testy, a CAPTCHA stawały się jeszcze bardziej złożone i trudne do rozwiązania nawet przez ludzi.

Biznes farm rozwiązujących CAPTCHA

Organizacje świadczące usługi rozwiązywania CAPTCHA działają jak typowe przedsiębiorstwa dążące do maksymalizacji swoich zysków. Ich model biznesowy polega na eksploatacji osób rozwiązujących CAPTCHA. Dlatego, przy stosunkowo niskich kosztach ogólnych, marża jest atrakcyjna. Farmy kliknięć wciąż pozostają najbardziej dostępnym i popularnym rozwiązaniem dla pokonania CAPTCHA przez hakerów. Zarządzają one usługą rozwiązujących CAPTCHA i sprzedają cyberprzestępcom dane wyjściowe zasilające automatyczne ataki w witrynach chronionych tymi technikami.

Czy ta usługa jest nielegalna? Nie do końca. Rozwiązanie CAPTCHA to nie to samo, co włamanie się do serwera lub przejęcie czyjegoś konta. Korzystający z niej może naruszać regulamin serwisu i wykorzystywać ją do popełnienia przestępstwa (np. do ataku credential stuffing), ale sprawcą jest przecież użytkownik usługi, a sam usługodawca może twierdzić, że nie zna intencji swoich klientów.

Praca na farmie kliknięć - rozwiązywanie CAPTCHA

Aby osobiście przekonać się, jak działają obie strony tego biznesu, zarejestrowałem się jako pracownik (wystarczy podać e-mail) i klient w rosyjskiej firmie 2Captcha. Zarobki takiego pracownika stanowią ułamek stawek zakupowych dla hakerów tj. ok 3-4%. Zapłatę za pracę otrzymują za pośrednictwem różnych usług płatności online, w tym Webmoney, Perfect Money, AdvCash i in.

Usługi farm kliknięć, takich jak 2Captcha umożliwiają atakującym całkowite obejście tych technik, także najnowszego testu Google’a o nazwie reCAPTCHA Enterprise.

Rozwiązywanie CAPTCHA

Profesjonalnie działający atakujący z wyprzedzeniem przeprowadza rekonesans w docelowej witrynie, identyfikując CAPTCHA jako wymóg korzystania z serwisu. Po utworzeniu i skonfigurowaniu konta (w opisywanym przypadku z 2Captcha) proces wygląda jak poniżej:

Napastnik za pomocą bota łączy się ze stroną internetową, która uruchamia test CAPTCHA. Bot przechwytuje obraz CAPTCHA i wysyła go do 2Captcha przy użyciu swojego API. Firma wysyła obraz do jednego lub wielu pracowników do rozwiązania. Rozwiązany test jest wysyłany z powrotem do bota za pośrednictwem API. Bot przesyła na stronę poprawnie rozwiązany CAPTCHA. Serwis nieprawidłowo rozpoznaje bota jako człowieka i pozwala mu dalej działać.

Tradycyjne CAPTCHA kosztują tu 0,75 USD za 1000 rozwiązań.

Rozwiązywanie reCAPTCHA

W przypadku reCAPTCHA, umożliwiającego hostom internetowym rozróżnienie między ludzkim a automatycznym dostępem do strony internetowej, proces wygląda jak poniżej:

Bot atakującego używa API 2Captcha do przekazania polecenia pracownikowi farmy kliknięć, aby odwiedził docelową witrynę i ręcznie zaznaczył pole wyboru „nie jestem robotem” w celu rozwiązania CAPTCHA. Otrzymuje on token za rozwiązany CAPTCHA (ponieważ jest człowiekiem). Captcha przekazuje token botowi atakującego za pośrednictwem API. Bot przesyła prawidłowy token do docelowej strony internetowej. Witryna nieprawidłowo rozpoznaje bota jako człowieka i pozwala mu dalej działać.

Za 1000 rozwiązanych reCAPTCHA hakerzy muszą zapłacić 2,99 USD

Wnioski

Farmy kliknięć są dużym biznesem i rzeczywistym źródłem dochodu wielu ludzi na całym świecie. Takie usługi są wygodne dla cyberprzestępców i powszechnie przez nich używane. W rezultacie CAPTCHA są tylko jak progi zwalniające na drodze dla zmotywowanych napastników, a jednocześnie stanowią znaczną niedogodność dla pełnoprawnych klientów. Mimo to wiele firm wciąż na nich polega, a niektóre poddają swoich klientów testowi CAPTCHA przy każdej poważniejszej interakcji. Cyberprzestępcy i równoległe gospodarki, które im służą, zawsze wprowadzają innowacje w walce z zabezpieczeniami, a CAPTCHA są z nami już od prawie dwóch dekad – dziś w rzeczywistości zamiast spełniać swoją rolę, głównie frustrują legalnych użytkowników. Nie tworzą już bowiem istotnych barier dla botów, które które przystosowały się do ich obchodzenia.

Dan Woods, wiceprezes Shape Security Intelligence Center w F5

[1] Completely Automated Public Turing test to tell Computers and Humans Apart