CAPTCHA nie chroni już zautomatyzowanymi atakami
Monday PR Sp. z o.o. Sp.k.
Górskiego 9
00-033 Warszawa
biuro|mondaypr.pl| |biuro|mondaypr.pl
+48 224878421
www.mondaypr.pl
Jak działają farmy kliknięć rozwiązujących CAPTCHA?
Jedną z kluczowych usług dostępnych legalnie na rynku, z których korzystają cyberprzestępcy, jest obejście CAPTCHA. Takie usługi świadczą ludzkie farmy kliknięć, które rozwiązują CAPTCHA. Ich koszt dla cyberprzestępców nie jest wysoki, a zautomatyzowane metody ataków na witryny pozwalają osiągnąć wysoki zwrot z inwestycji i duże szkody po stronie firm i ich klientów. Shape Intelligence Center w F5, śledzi rozwój metod ataków hakerskich, obserwując, jak działają narzędzia i usługi, których używają cyberprzestępcy przeciwko firmom i organizacjom.
CAPTCHA[1]– czyli techniki, które pozawalają odróżnić ludzi od komputerów, zostały po raz pierwszy wdrożone pod koniec lat 90. w formie podstawowego odwrotnego testu Turinga. Celem było odfiltrowywanie w serwisach internetowych rosnącego i sprawiającego problemy ruchu botów. Pierwotnie stanowiły one skuteczną ochronę przed zautomatyzowanymi atakami. Były przeszkodą, której wczesne generacje botów nie mogły łatwo pokonać. Z czasem boty ewoluowały i zaczęły rozwiązywać testy, a CAPTCHA stawały się jeszcze bardziej złożone i trudne do rozwiązania nawet przez ludzi.
Biznes farm rozwiązujących CAPTCHA
Organizacje świadczące usługi rozwiązywania CAPTCHA działają jak typowe przedsiębiorstwa dążące do maksymalizacji swoich zysków. Ich model biznesowy polega na eksploatacji osób rozwiązujących CAPTCHA. Dlatego, przy stosunkowo niskich kosztach ogólnych, marża jest atrakcyjna. Farmy kliknięć wciąż pozostają najbardziej dostępnym i popularnym rozwiązaniem dla pokonania CAPTCHA przez hakerów. Zarządzają one usługą rozwiązujących CAPTCHA i sprzedają cyberprzestępcom dane wyjściowe zasilające automatyczne ataki w witrynach chronionych tymi technikami.
Czy ta usługa jest nielegalna? Nie do końca. Rozwiązanie CAPTCHA to nie to samo, co włamanie się do serwera lub przejęcie czyjegoś konta. Korzystający z niej może naruszać regulamin serwisu i wykorzystywać ją do popełnienia przestępstwa (np. do ataku credential stuffing), ale sprawcą jest przecież użytkownik usługi, a sam usługodawca może twierdzić, że nie zna intencji swoich klientów.
Praca na farmie kliknięć - rozwiązywanie CAPTCHA
Aby osobiście przekonać się, jak działają obie strony tego biznesu, zarejestrowałem się jako pracownik (wystarczy podać e-mail) i klient w rosyjskiej firmie 2Captcha. Zarobki takiego pracownika stanowią ułamek stawek zakupowych dla hakerów tj. ok 3-4%. Zapłatę za pracę otrzymują za pośrednictwem różnych usług płatności online, w tym Webmoney, Perfect Money, AdvCash i in.
Usługi farm kliknięć, takich jak 2Captcha umożliwiają atakującym całkowite obejście tych technik, także najnowszego testu Google’a o nazwie reCAPTCHA Enterprise.
Rozwiązywanie CAPTCHA
Profesjonalnie działający atakujący z wyprzedzeniem przeprowadza rekonesans w docelowej witrynie, identyfikując CAPTCHA jako wymóg korzystania z serwisu. Po utworzeniu i skonfigurowaniu konta (w opisywanym przypadku z 2Captcha) proces wygląda jak poniżej:
Napastnik za pomocą bota łączy się ze stroną internetową, która uruchamia test CAPTCHA. Bot przechwytuje obraz CAPTCHA i wysyła go do 2Captcha przy użyciu swojego API. Firma wysyła obraz do jednego lub wielu pracowników do rozwiązania. Rozwiązany test jest wysyłany z powrotem do bota za pośrednictwem API. Bot przesyła na stronę poprawnie rozwiązany CAPTCHA. Serwis nieprawidłowo rozpoznaje bota jako człowieka i pozwala mu dalej działać.
Tradycyjne CAPTCHA kosztują tu 0,75 USD za 1000 rozwiązań.
Rozwiązywanie reCAPTCHA
W przypadku reCAPTCHA, umożliwiającego hostom internetowym rozróżnienie między ludzkim a automatycznym dostępem do strony internetowej, proces wygląda jak poniżej:
Bot atakującego używa API 2Captcha do przekazania polecenia pracownikowi farmy kliknięć, aby odwiedził docelową witrynę i ręcznie zaznaczył pole wyboru „nie jestem robotem” w celu rozwiązania CAPTCHA. Otrzymuje on token za rozwiązany CAPTCHA (ponieważ jest człowiekiem). Captcha przekazuje token botowi atakującego za pośrednictwem API. Bot przesyła prawidłowy token do docelowej strony internetowej. Witryna nieprawidłowo rozpoznaje bota jako człowieka i pozwala mu dalej działać.
Za 1000 rozwiązanych reCAPTCHA hakerzy muszą zapłacić 2,99 USD
Wnioski
Farmy kliknięć są dużym biznesem i rzeczywistym źródłem dochodu wielu ludzi na całym świecie. Takie usługi są wygodne dla cyberprzestępców i powszechnie przez nich używane. W rezultacie CAPTCHA są tylko jak progi zwalniające na drodze dla zmotywowanych napastników, a jednocześnie stanowią znaczną niedogodność dla pełnoprawnych klientów. Mimo to wiele firm wciąż na nich polega, a niektóre poddają swoich klientów testowi CAPTCHA przy każdej poważniejszej interakcji. Cyberprzestępcy i równoległe gospodarki, które im służą, zawsze wprowadzają innowacje w walce z zabezpieczeniami, a CAPTCHA są z nami już od prawie dwóch dekad – dziś w rzeczywistości zamiast spełniać swoją rolę, głównie frustrują legalnych użytkowników. Nie tworzą już bowiem istotnych barier dla botów, które które przystosowały się do ich obchodzenia.
Dan Woods, wiceprezes Shape Security Intelligence Center w F5
[1] Completely Automated Public Turing test to tell Computers and Humans Apart
![Showroom VisionCube z Sony Crystal LED Biuro prasowe](https://www.newseria.pl/files/_uploaded/glownekonf_1041901661,w_254,wo_300,ho_169,_small.jpg)
Showroom VisionCube z Sony Crystal LED
![Kolejny nowy najemca w Blue City - to szybko rosnąca hiszpańska marka](https://www.newseria.pl/files/_uploaded/glownekonf_191360984,w_254,wo_300,ho_169,_small.jpg)
Kolejny nowy najemca w Blue City - to szybko rosnąca hiszpańska marka
![Ponadczasowa Podróż: Kroniki Titanic Belfast](https://www.newseria.pl/files/_uploaded/glownekonf_678975170,w_300,wo_300,ho_169,_small.jpg)
Ponadczasowa Podróż: Kroniki Titanic Belfast
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
![](/files/11111/n-innowacje.png)
Jedynka Newserii
![](/files/11111/n-lifestyle.png)
Bankowość
![](https://www.newseria.pl/files/11111/bgk,w_274,_small.jpg)
Samorządy mogą liczyć na rekordowe finansowanie w tej perspektywie finansowej UE. Pierwsze środki już do nich trafiają
– Poza środkami własnymi samorządy mają dostęp do środków unijnych i do kredytów. To są trzy nogi, na których stoi finansowanie jednostek samorządu terytorialnego – podkreśla Mateusz Walewski, główny ekonomista Banku Gospodarstwa Krajowego. Bank w kwietniu br. uruchomił pierwszy instrument finansowany z KPO, czyli pożyczki wspierające zieloną transformację miast, z budżetem wynoszącym prawie 9 mld euro. Samorządy będą mogły sfinansować z tych środków inwestycje, które powodują, że miasto jest bardziej zielone, nowoczesne i przyjazne dla mieszkańców. Samorządy z niecierpliwością wyczekują również reformy finansowania jednostek samorządu terytorialnego, która ma ustabilizować ich sytuację po zmianach wprowadzonych w tzw. Polskim Ładzie.
Regionalne –
Przyspiesza dekarbonizacja ciepłownictwa. Elektrociepłownia w Bydgoszczy od przyszłego roku zrezygnuje z kolejnych kotłów węglowych
![](https://www.newseria.pl/files/11111/pge-bydgoszcz-foto-2,w_133,r_png,_small.png)
Elektrociepłownia Bydgoszcz II, należąca do PGE Energia Ciepła, wchodzi w kluczowy etap inwestycji, która ma doprowadzić do wyłączenia dwóch z czterech kotłów węglowych i ograniczenia emisji dwutlenku węgla o 17 proc. To oznacza, że od II kwartału 2025 roku mieszkańcy Bydgoszczy będą korzystać z ciepła wytworzonego w nowych niskoemisyjnych źródłach. To jeden z kilku realizowanych projektów PGE Energia Ciepła, które zmierzają do dekarbonizacji w ciepłownictwie.
Nauka
Polski przemysł kosmiczny jest gotowy na zwiększanie udziału w programach Europejskiej Agencji Kosmicznej. Do tego będzie potrzebować coraz więcej wykwalifikowanych kadr
![](https://www.newseria.pl/files/11111/zpsk-kadry-kosmos-foto,w_133,r_png,_small.png)
Pierwsza grupa młodych inżynierów z Polski rozpoczęła dwuletni staż w ośrodkach Europejskiej Agencji Kosmicznej w Niderlandach, Hiszpanii, Francji i Niemczech. W sumie do 2025 roku na staże do ESA zostanie skierowanych 30 kandydatów z Polski, którzy wezmą udział w kluczowych przedsięwzięciach naukowych i technologicznych agencji. To tylko jedna z inicjatyw nakierowanych na kształcenie kadr do pracy w sektorze kosmicznym. Sytuacja w tym zakresie poprawiła się na przestrzeni ostatnich lat, jednak w związku z szybkim rozwojem branży w nadchodzących latach zapotrzebowanie na wykwalifikowanych ekspertów będzie rosło.
Partner serwisu
Szkolenia
![](https://www.newseria.pl/files/11111/ramka-prawa-akademia-newser_1,w_274,_small.jpg)
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.