کمیته رکن چهارم – سرویسهای شکستن CAPTCHA با نیروهای انسانی تبدیل به وسیلهای شدهاند که به مجرمان سایبری کمک میکنند امنیت را شکست دهند.
محققان امنیت سایبری در مورد خدمات شکستن CAPTCHA که برای فروش برای دور زدن سیستمهایی که برای تشخیص کاربران قانونی از ترافیک ربات طراحی شدهاند، هشدار دادند.
Trend Micro در گزارشی که هفته گذشته منتشر شد، اظهار داشت: «از آنجایی که مجرمان سایبری مشتاق شکستن دقیق CAPTCHA هستند، چندین سرویس که عمدتاً در جهت این تقاضای بازار هستند ایجاد شدهاند. این سرویسهای حل CAPTCHA از تکنیکهای تشخیص کاراکتر نوری یا روشهای پیشرفته یادگیری ماشینی استفاده نمیکنند. در عوض، آنها CAPTCHAها را با انجام وظایف شکستن CAPTCHA به حل کنندههای واقعی انسانی میشکنند.»
کلمه کپچا در انگلیسی مخفف تست تورینگ عمومی کاملاً خودکار برای تشخیص رایانهها و انسانها و ابزاری برای متمایز کردن کاربران واقعی انسانی از کاربران خودکار با هدف مبارزه با هرزنامه و محدود کردن ایجاد حساب جعلی است.
در حالی که مکانیسمهای CAPTCHA میتوانند یک تجربه کاربری مخرب باشند، اما به عنوان ابزاری مؤثر برای مقابله با حملات ترافیک وب منشأ ربات در نظر گرفته میشوند.
خدمات غیرقانونی حل CAPTCHA با فیلتر کردن درخواستهای ارسال شده توسط مشتریان و تفویض آنها به حلکنندههای انسانیشان کار میکند، که راهحل را پیدا کرده و نتایج را به کاربران ارسال میکنند.
علاوه بر این، کل گردش کار با ایجاد امکان انتقال CAPTCHA در زمان واقعی از طریق تماسهای API به ارائهدهنده خدمات، در دسترس اپراتورهای ربات قرار میگیرد که سپس به صورت برنامهنویسی پاسخها را ارسال میکند.
این امر، توسعه ابزارهای خودکار در برابر سرویسهای وب آنلاین را برای مشتریان سرویسهای شکستن CAPTCHA آسان میکند و از آنجا که انسانهای واقعی در حال حل CAPTCHA هستند، هدف از فیلتر کردن ترافیک رباتهای خودکار از طریق این آزمایشها بیاثر میشود.
این کل ماجرا نیست. به تازگی عوامل تهدیدی مشاهده شدهاند که خدمات شکستن CAPTCHA را خریداری میکنند و آنها را با پیشنهادات نرمافزار پروکسی (پروکسیافزار؛ proxyware) ترکیب میکنند تا آدرس IP مبدأ را پنهان کنند و از موانع آنتیباتها فرار کنند.
پروکسیافزار، اگرچه بهعنوان ابزاری برای به اشتراک گذاشتن پهنای باند اینترنت استفادهنشده یک کاربر با سایر کاربران در ازای «درآمد غیرفعال» به بازار عرضه میشود، اما اساساً دستگاههایی را که آنها را اجرا میکنند به پروکسیهای مسکونی تبدیل میکند.
در یکی از نمونههای سرویس شکستن CAPTCHA که بازار محبوب تجارت اجتماعی Poshmark را هدف قرار میدهد، درخواستهای وظیفهای که از یک ربات صادر میشود از طریق یک شبکه پروکسیافزار هدایت میشوند.
برای کاهش چنین خطراتی، سرویسهای وب آنلاین برای تکمیل CAPTCHA و فهرست بلاک IP با سایر ابزارهای امنیتی توصیه میشوند.
منبع: افتانا