Перейти к содержанию

Почему на CAPTCHA больше нельзя полагаться | Блог Касперского


Рекомендуемые сообщения

Как правило, если какой-то интерфейс создан для человека, то боту к нему обращаться совершенно незачем. Программы общаются друг с другом через API, так что в подавляющем большинстве случаев бот, пытающийся получить доступ к онлайновому ресурсу или сервису через пользовательский интерфейс, — это попытка эксплуатации механизмов сервиса в интересах каких-либо злоумышленников. Поэтому с такими ботами принято бороться.

Долгие годы чуть ли не единственным инструментом борьбы с ботами-нелегалами была CAPTCHA — механизм, позволяющий определить, человек ли обратился к веб-сервису. Многие сервисы, в том числе онлайновые системы банков, страницы программ лояльности, да и просто любые сайты, на которых есть хоть какой-то личный кабинет, используют ее до сих пор. Но так ли надежна капча?

На панельной дискуссии, посвященной веб-атакам и онлайн-мошенничеству, которая состоялась в ходе RSA Conference 2021, исследователи обсуждали опыт, извлеченный из атак на крупные организации и полученный при изучении образа действий злоумышленников. Один из докладчиков, Дэн Вудс, в прошлом сотрудник правоохранительных органов, упомянул о достаточно необычном эксперименте. В какой-то момент он притворился соискателем абсолютно любой работы в сети и в результате прошел обучение на сотрудника клик-фермы, которая занималась решением той самой CAPTCHA. Он был поражен объемами работы и нищенской оплатой труда (порядка трех долларов в день), но главным итогом этого эксперимента стал вывод: CAPTCHA больше не нужна.

Что такое клик-ферма

В целом клик-фермы — явление далеко не новое. Они достаточно давно использовались мошенниками для схемы кликфрода, то есть махинаций с бюджетами на рекламу, эффективность которой считается по кликам на баннер или ссылку, а также всевозможного накручивания лайков, просмотров, голосов и любых других показателей, которое нельзя автоматизировать.

Выглядит это очень просто: огромное количество низкооплачиваемых работников кликает по определенной ссылке, перелогинивается, кликает снова и так до бесконечности. Когда-то этой работой занимались боты, но с тех пор как антимошеннические алгоритмы научились распознавать их активность, пришлось подключать настоящих, живых людей.

Так вот, как следует из рассказа Вудса, клик-фермы также поставляют услуги «решения CAPTCHA». То есть боты, которые ведут атаку на какие-либо онлайновые сервисы (чаще всего связанные с финансами), сталкиваются с проверкой и делегируют ее человеку. И это до неприличия дешевая услуга.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Помню лет 8 назад зарегистрировался на такой клик-ферме. Посидев минут 10, понял, что как раз если сидеть целый день и вбивать эти капчи, то получится долларов 3-5 в сутки, и глаза на выкате 🤪

Ссылка на сообщение
Поделиться на другие сайты

@ska79 за месяц конечно выходит неплохо, особенно для безработных или студентов. Но на мой взгляд это очень сложно, и не стоит оплачиваемых денег. Чтобы постоянно нажимать эти капчи, надо быть постоянно сконцентрированным и щелкать с высокой интенсивностью. И насколько помню, там были штрафы с определенного количества неправильно введенных капч (например среди непроверенных системой капч, предлагались к угадыванию уже проверенные системой). Поэтому наверное 3-5 баксов более расчетная цифра, чем реальная

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Современные антифишинговые и антиспам-решения для выявления нежелательных писем все чаще используют разнообразные варианты технологий машинного обучения. Для анализа текста применяются нейросети, которые не так просто обмануть. Поэтому злоумышленники начали очень активно применять простой, но действенный трюк — помещать весь текст на картинку. Причем картинку они встраивают в тело письма (в кодировке Base64), а не размещают на стороннем сайте, как это происходит обычно (в таком случае почтовый клиент просто не отобразил бы изображение в письме, пришедшем с адреса вне компании).
      Целью большей части таких писем, как обычно, является выманивание учетных данных от Microsoft Office 365. В очередной раз мы бы хотели обратить ваше внимание на признаки мошенничества, которые позволят вам оставаться в безопасности.
      Фишинговое письмо
      По большому счету, письмо просто представляет собой картинку на белом фоне (это помогает ей сливаться с интерфейсом почтового клиента). Вот типичный пример фишингового письма такого рода:

      Начнем с того, что легальных причин, по которым современное письмо может оказаться картинкой, нет. Тем более письмо, сгенерированное автоматически (а извещение о необходимости верификации учетной записи — 100% автоматически созданное послание). Пользователю достаточно просто определить, что перед ним не текст, а картинка — курсор мыши не изменяется при подведении к гиперссылке или кнопке. Ведь здесь URL зашит под картинку, и, по сути, вся картинка является единой кнопкой/ссылкой.
      Если у вас остаются сомнения, можете попробовать выделить часть текста или изменить размер окна почтового клиента. На картинке вам, разумеется, не удастся выделить слово, а при изменении масштабирования окна длина строк «письма» останется постоянной.
       
      View the full article
    • От KL FC Bot
      Почти в каждом посте про Android мы обязательно говорим, что приложения следует устанавливать только из официальных источников. И вот нам попался пример, который отлично иллюстрирует, почему: через совсем неофициальные источники мошенники распространяют банковский троян под видом популярных медиаплееров, приложений для фитнеса и чтения, а также… Kaspersky Internet Security для Android. Разберем этот случай немного подробнее.
      Почему опасно устанавливать приложения из неофициальных источников
      Что, собственно, не так с неофициальными источниками? То, что никто не знает, можно ли им доверять. В официальных магазинах приложений — будь то Google Play или, например, Huawei AppGallery — сотрудники контролирующих их компаний проверяют каждое приложение, которое разработчики хотят там разместить, и отсеивают откровенно зловредные. Компании большие, дорожащие своей репутацией и безопасностью своих клиентов, — у них есть и ресурсы, и мотивация заботиться о том, чтобы у пользователей не заводились зловреды.
      Иногда зловреды все-таки пролезают даже в Google Play, но все же шанс встретиться с ними там намного ниже, чем на форумах, торрентах и каких-нибудь независимых сайтах. На маленьких, но гордых сторонних площадках приложения, скорее всего, не проверяет никто — в первую очередь потому, что особенно-то и некому этим заниматься. В результате эти приложения вполне могут оказаться не тем, за что себя выдают, а вообще чем угодно, в том числе и трояном.
      При этом просто скачать зловреда на Android обычно недостаточно для того, чтобы заразиться. Эта операционная система устроена так, что установить и запустить опасное приложение, если оно не полагается на какие-то суперуязвимости нулевого дня для получения прав суперпользователя, довольно сложно: вас на каждом шагу будут спрашивать, правда ли вы хотите его установить, действительно ли согласны дать все нужные разрешения, и так далее. Для того чтобы убедить вас это сделать, злоумышленники прибегают к социальной инженерии — и довольно успешно.
       
      View the full article
    • От dkhilobok
      Всем привет! Приглашаю всех присоединиться к стриму, который пройдет сегодня с 17:00 до 18:30. Принять участие может любой желающий. Описание ниже     Мы проведём встречу в формате небольших лайв-интервью, где с каждым спикером обсудим: — как с самой первой работы им удалось дойти до своей текущей карьерной точки — что им помогало, а что мешало — как повлияли другие жизненные факторы: от получения вышки до переезда в другой город — чем они занимаются сейчас и на что обращают внимание при поиске новых сотрудников — в том числе стажеров SafeBoard Приятный разговор, ответы на вопросы слушателей и призы за участие в интерактиве гарантируем! Регистрируйтесь на митап и читайте подробности по ссылке: https://kas.pr/qcn6 #kaspersky #safeboard   Ссылка на стрим: 
    • От KL FC Bot
      Поддельные моды для Minecraft: предыстория
      Некоторое время назад мы обнаружили в Google Play более 20 приложений, которые позиционировались как каталоги модов для Minecraft, но на самом деле превращали смартфон или планшет установившего их пользователя в инструмент для крайне навязчивого показа рекламы. Причем у самого популярного из найденных приложений было более миллиона загрузок.
      Эти приложения не содержали в себе никаких модов, с точки зрения пользователя они не делали вообще ничего полезного. Вместо этого после первого запуска они прятали свою иконку и внезапно начинали периодически запускать браузер, открывая рекламные страницы. Также по команде своих создателей приложения могли показывать определенные ролики с YouTube, страницы приложений в Google Play и так далее.
      Та версия, которую мы изучили, запускала браузер каждые две минуты, что, конечно, очень сильно мешало пользоваться смартфоном. Особенно неприятно это потому, что хозяину аппарата было крайне сложно догадаться, из-за чего все это происходит и что именно нужно предпринять, чтобы телефон перестал себя так вести.
      Мы сообщили Google о своей находке, и неприятные приложения достаточно оперативно были удалены из магазина.
      Новые версии вредоносных приложений
      Разумеется, это далеко не первый случай присутствия целых массивов вредоносных приложений в Google Play. Причем далеко не всегда удаление приложений из магазина приводит к победе над зловредом: его создатели просто загружают в магазин новые, слегка модифицированные версии — под другими названиями и под другими аккаунтами разработчика.
      Наиболее показательным примером может служить история трояна «Музыка ВКонтакте», воровавшего аккаунты пользователей VK. Его не могли искоренить из официального магазина приложений Google на протяжении нескольких лет.
      Помня об этом, мы решили посмотреть, помогло ли удаление вредоносных модпаков для Minecraft из Google Play решить проблему. Для этого мы поискали похожие приложения — и нам удалось их обнаружить.
       
      View the full article
×
×
  • Создать...