Istraživači sajber bezbednosti upozoravaju na servis usluge CAPTCHA koje se nude na prodaju da bi se zaobišli sistemi dizajnirani da razlikuju legitimne korisnike od bot saobraćaja.
„Budući da su sajber kriminalci željni preciznog razbijanja CAPTCHAa, stvoreno je nekoliko usluga koje su prvenstveno usmerene ka ovoj potražnji tržišta“, navodi Trend Micro u izveštaju objavljenom prošle nedelje.
„Ove usluge rešavanja CAPTCHA ne koriste tehnike (optičkog prepoznavanja karaktera) ili napredne metode mašinskog učenja; umesto toga, one razbijaju CAPTCHA tako što predaju zadatke za razbijanje CAPTCHA stvarnim ljudima koji rešavaju.“
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) skraćenica od potpuno automatizovanog javnog Tjuringovog testa da razlikuje računare i ljude, je alatka za razlikovanje stvarnih ljudskih korisnika od automatizovanih korisnika sa ciljem borbe protiv neželjene pošte i ograničavanja kreiranja lažnih naloga.
Iako CAPTCHAtovi mehanizmi mogu biti ometajuće, oni se smatraju efikasnim sredstvom za suzbijanje napada veb saobraćaja koji potiče od botova.
Nedozvoljene usluge rešavanja CAPTCHA funkcionišu tako što usmeravaju zahteve koje šalju kupci i delegiraju ih njihovim ljudskim rešavačima, koji razrađuju rešenje i šalju rezultate nazad korisnicima.
Ovo se, pak, postiže pozivanjem API-ja za podnošenje CAPTCHA i pozivanjem drugog API-ja da bi se dobili rezultati.
Ovo olakšava korisnicima servisa za razbijanje CAPTCHA da razviju automatizovane alate protiv onlajn veb usluga -rekao je istraživač bezbednosti Džoji Kostoja.
I pošto stvarni ljudi rešavaju CAPTCHA, svrha filtriranja automatizovanog bot saobraćaja kroz ove testove postaje neefikasna.
To nije sve
Uočeni su akteri pretnji koji kupuju usluge razbijanja CAPTCHA i kombinuju ih sa ponudama proksi softvera kako bi prikrili izvornu IP adresu i izbegli barijere protiv robota.
Proksiver, iako se prodaje kao uslužni program za deljenje neiskorišćenog internet propusnog opsega korisnika sa drugim stranama u zamenu za „pasivni prihod“, u suštini pretvara uređaje koji ih koriste u rezidencijalne proksije.
Pročitajte još:
- Ruski mediji – Amerika i NATO obučavaju kosovske Albance
- Kina odbila sastanak sa vojnim vrhom SAD
- Devet ljudi povređeno na Floridi u pucnjavi koja je izbila na plaži (VIDEO)
U jednom slučaju servisa za razbijanje CAPTCHAta koji cilja na popularno tržište društvene trgovine Poshmark, zahtevi za zadacima koji potiču od bota se rutiraju preko mreže proksi softvera.
CAPTCHA su uobičajeni alati koji se koriste za sprečavanje zloupotrebe neželjene pošte i botova, ali sve veća upotreba usluga za razbijanje CAPTCHA dovodi do toga da bude manje delotvornim“, rekao je Kostoja.
Dok internet servisi mogu da blokiraju izvorne IP adrese zlostavljača, porast usvajanja proksi softvera čini ovaj metod bezubim kao CAPTCHA.
Da bi se umanjili takvi rizici, preporučuje se onlajn veb uslugama da dopune CAPTCHA i IP liste blokiranja drugim alatima protiv zloupotrebe.
Pratite Portal Dnevni Puls na Telegramu, Fejsbuku, Tviteru, Gab-u i Viberu!
Dnevni Puls/TheHackerNews