يحذر باحثو الأمن السيبراني من خدمات كسر CAPTCHA التي يتم عرضها للبيع لتجاوز الأنظمة المصممة لتمييز المستخدمين الشرعيين عن حركة مرور الروبوتات. خدمات كسر CAPTCHA
وقالت تريند مايكرو في تقرير نُشر الأسبوع الماضي: “نظرًا لحرص مجرمي الإنترنت على كسر الكابتشا بدقة. فقد تم إنشاء العديد من الخدمات الموجهة أساسًا نحو هذا الطلب في السوق”.
“لا تستخدم خدمات حل اختبار CAPTCHA تقنيات [التعرف البصري على الأحرف] أو أساليب التعلم الآلي المتقدمة ؛ بدلاً من ذلك. يكسرون اختبارات CAPTCHA عن طريق تخصيص مهام كسر اختبار CAPTCHA لمحللين بشريين فعليين.”
اختبار CAPTCHA – اختصار لـ اختبار تورينج العام المؤتمت بالكامل لإخبار Computers and Humans Apart – هو أداة للتمييز بين المستخدمين البشريين الحقيقيين والمستخدمين الآليين بهدف مكافحة البريد العشوائي وتقييد إنشاء الحسابات المزيفة.
في حين أن آليات CAPTCHA يمكن أن تكون تجربة مزعجة للمستخدم. إلا أنها تعتبر وسيلة فعالة لمواجهة الهجمات من حركة مرور الويب التي تنشأ عن الروبوتات.
تعمل خدمات حل CAPTCHA غير المشروعة عن طريق تحويل الطلبات المرسلة من قبل العملاء وتفويضها للمحللين البشريين. الذين يتوصلون إلى الحل ويرسلون النتائج مرة أخرى إلى المستخدمين.
علاوة على ذلك. يتم إتاحة سير العمل بالكامل لمشغلي الروبوتات من خلال إتاحة إمكانية إرسال CAPTCHA في الوقت الفعلي عبر مكالمات واجهة برمجة التطبيقات إلى مزود الخدمة. والذي يقوم بعد ذلك بإرسال الإجابات برمجيًا.
قال الباحث الأمني جوي كوستويا: “هذا يسهل على عملاء خدمات اختبار CAPTCHA الفاشلة تطوير أدوات آلية مقابل خدمات الويب عبر الإنترنت”. “ونظرًا لأن البشر الفعليين يحلون اختبارات CAPTCHA. فإن الغرض من تصفية حركة مرور الروبوت الآلية من خلال هذه الاختبارات يصبح غير فعال.”
خدمات كسر CAPTCHA مع حلول بشرية تساعد مجرمي الإنترنت على هزيمة الأمن
هذا ليس كل شئ. تمت ملاحظة الجهات الفاعلة في مجال التهديد وهي تشتري خدمات تحطم اختبار CAPTCHA وتجمعها مع عروض البرامج الوكيلة لإخفاء عنوان IP الأصلي وتجنب الحواجز المضادة للروبوتات.
على الرغم من تسويق البرنامج الوكيل كأداة مساعدة لمشاركة النطاق الترددي للإنترنت غير المستخدم مع أطراف أخرى مقابل “دخل سلبي”. فإنه يحول الأجهزة التي تقوم بتشغيلها إلى وكلاء محليين.
في حالة واحدة من خدمة كسر اختبار CAPTCHA التي تستهدف سوق التجارة الاجتماعية الشهير Poshmark. يتم توجيه طلبات المهام المنبثقة من الروبوت عبر شبكة برامج وكيل.
قال كوستويا: “الكابتشا هي أدوات شائعة تستخدم لمنع البريد العشوائي وإساءة استخدام الروبوتات. ولكن الاستخدام المتزايد لخدمات كسر الكابتشا جعل الكابتشا أقل فعالية”. “بينما يمكن لخدمات الويب عبر الإنترنت حظر عناوين IP الأصلية للمسيئين. فإن تزايد اعتماد البرامج الوكيلة يجعل هذه الطريقة بلا أسنان مثل اختبارات CAPTCHA.”
للتخفيف من هذه المخاطر. يوصى بخدمات الويب عبر الإنترنت لتكملة اختبارات CAPTCHA وقائمة حظر IP بأدوات أخرى لمكافحة إساءة الاستخدام. خدمات كسر CAPTCHA