Перейти к содержанию

Почему на CAPTCHA больше нельзя полагаться | Блог Касперского


Рекомендуемые сообщения

Как правило, если какой-то интерфейс создан для человека, то боту к нему обращаться совершенно незачем. Программы общаются друг с другом через API, так что в подавляющем большинстве случаев бот, пытающийся получить доступ к онлайновому ресурсу или сервису через пользовательский интерфейс, — это попытка эксплуатации механизмов сервиса в интересах каких-либо злоумышленников. Поэтому с такими ботами принято бороться.

Долгие годы чуть ли не единственным инструментом борьбы с ботами-нелегалами была CAPTCHA — механизм, позволяющий определить, человек ли обратился к веб-сервису. Многие сервисы, в том числе онлайновые системы банков, страницы программ лояльности, да и просто любые сайты, на которых есть хоть какой-то личный кабинет, используют ее до сих пор. Но так ли надежна капча?

На панельной дискуссии, посвященной веб-атакам и онлайн-мошенничеству, которая состоялась в ходе RSA Conference 2021, исследователи обсуждали опыт, извлеченный из атак на крупные организации и полученный при изучении образа действий злоумышленников. Один из докладчиков, Дэн Вудс, в прошлом сотрудник правоохранительных органов, упомянул о достаточно необычном эксперименте. В какой-то момент он притворился соискателем абсолютно любой работы в сети и в результате прошел обучение на сотрудника клик-фермы, которая занималась решением той самой CAPTCHA. Он был поражен объемами работы и нищенской оплатой труда (порядка трех долларов в день), но главным итогом этого эксперимента стал вывод: CAPTCHA больше не нужна.

Что такое клик-ферма

В целом клик-фермы — явление далеко не новое. Они достаточно давно использовались мошенниками для схемы кликфрода, то есть махинаций с бюджетами на рекламу, эффективность которой считается по кликам на баннер или ссылку, а также всевозможного накручивания лайков, просмотров, голосов и любых других показателей, которое нельзя автоматизировать.

Выглядит это очень просто: огромное количество низкооплачиваемых работников кликает по определенной ссылке, перелогинивается, кликает снова и так до бесконечности. Когда-то этой работой занимались боты, но с тех пор как антимошеннические алгоритмы научились распознавать их активность, пришлось подключать настоящих, живых людей.

Так вот, как следует из рассказа Вудса, клик-фермы также поставляют услуги «решения CAPTCHA». То есть боты, которые ведут атаку на какие-либо онлайновые сервисы (чаще всего связанные с финансами), сталкиваются с проверкой и делегируют ее человеку. И это до неприличия дешевая услуга.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Помню лет 8 назад зарегистрировался на такой клик-ферме. Посидев минут 10, понял, что как раз если сидеть целый день и вбивать эти капчи, то получится долларов 3-5 в сутки, и глаза на выкате 🤪

Ссылка на сообщение
Поделиться на другие сайты

@ska79 за месяц конечно выходит неплохо, особенно для безработных или студентов. Но на мой взгляд это очень сложно, и не стоит оплачиваемых денег. Чтобы постоянно нажимать эти капчи, надо быть постоянно сконцентрированным и щелкать с высокой интенсивностью. И насколько помню, там были штрафы с определенного количества неправильно введенных капч (например среди непроверенных системой капч, предлагались к угадыванию уже проверенные системой). Поэтому наверное 3-5 баксов более расчетная цифра, чем реальная

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Некоторое время назад многие СМИ, пишущие на тему информационной безопасности, рассказывали о масштабных DDoS-атаках при помощи нового ботнета Mēris. Мощность его атак доходила до 22 миллионов запросов в секунду (Requests Per Second). Согласно исследованию компании Qrator изрядную часть трафика этого ботнета генерировали сетевые устройства компании MikroTik.
      В MikroTik проанализировали ситуацию и пришли к выводу, что новых уязвимостей в их роутерах нет, но чтобы убедиться, что ваш маршрутизатор не примкнул к ботнету, необходимо выполнить ряд рекомендаций.
      Почему устройства MikroTik участвуют в ботнете
      Несколько лет назад, в роутерах MikroTik действительно была обнаружена уязвимость — множество устройств было скомпрометировано через Winbox, инструмент для их настройки. Несмотря на то, что уязвимость была закрыта еще в 2018 году, обновились далеко не все.
      Кроме того, даже среди обновившихся не все последовали рекомендациям производителя по смене паролей. Если пароль не сменить, то даже после обновления прошивки до последней версии остается вероятность того, что злоумышленники зайдут на роутер со старым паролем и вновь начнут использовать его для преступной деятельности.
      Как следует из поста MikroTik — сейчас в ботнете участвуют те же устройства, что были скомпрометированы в 2018. Компания опубликовала признаки компрометации устройства и выдала рекомендации по их защите.
       
      View the full article
    • От KL FC Bot
      В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure. Дело в том, что при создании виртуальной машины под управлением Linux и выборе некоторых сервисов Azure платформа автоматически устанавливает на машину агент управления Open Management Infrastructure (OMI), не ставя в известность пользователя. И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизма автоматического обновления этого агента в Azure не предусмотрено. Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.
      Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атаки
      В сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure. Одна из них, CVE-2021-38647 допускает удаленное исполнение вредоносного кода (RCE) и является критической, а три остальных, CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649, могут быть использованы для повышения привилегий (LPE) в многоступенчатых атаках, когда злоумышленники заранее проникают в сеть жертвы. Этим трем присвоен высокий рейтинг по шкале CVSS.
       
      View the full article
    • От KL FC Bot
      Для защиты аккаунтов очень важна двухфакторная аутентификация: если утек пароль — а утекают они регулярно, — второй фактор помешает злоумышленникам взломать аккаунт. Один из удобных способов двухфакторной аутентификации — при помощи специального приложения, генерирующего одноразовые коды, вроде Google Authenticator и его аналогов. Но рано или поздно у многих пользователей возникает вопрос: что делать, если телефон с приложением-аутентификатором потерян/разбит/забыт/украден? Рассказываем, какие есть варианты.
      Как восстановить аутентификатор, если смартфон с приложением недоступен
      Если у вас больше нет доступа к смартфону, на котором установлен аутентификатор, попробуйте вспомнить: возможно, вы все еще залогинены на одном из ваших устройств в тот аккаунт, к которому пытаетесь получить доступ? Дальнейшие действия зависят от ответа на этот вопрос.
      Восстанавливаем аутентификатор, если доступ к аккаунту есть на каком-то другом устройстве
      Если вы все еще залогинены на одном из ваших устройств в аккаунт, в который пытаетесь войти на другом, то исправить положение будет несложно. В этом случае попробуйте зайти в настройки и сбросить аутентификатор, то есть привязать его к новому приложению. Обычно соответствующий пункт можно найти где-нибудь на вкладке «Безопасность». Например, с аккаунтами Google и «Яндекс» такой вариант сработает, даже если вы залогинены всего в одном из приложений этих компаний — скажем, в YouTube или «Яндекс.Навигаторе».
      Иногда в тех же настройках можно посмотреть секретный ключ или QR-код аутентификатора — некоторые сервисы (но далеко не все) это позволяют. В таком случае вам останется просто ввести эти данные в приложение-аутентификатор на новом устройстве.
      К сожалению, этот способ срабатывает не всегда, даже если вы все еще залогинены в аккаунт на одном из устройств. Проблема в том, что не у всех сервисов совпадает набор настроек в веб-версии и в мобильном приложении — нужной опции там, где вы залогинены, может просто не быть.
       
      View the full article
    • От KL FC Bot
      Иногда бывает так, что вы пытаетесь открыть ссылку, но антивирус блокирует переход на сайт, выдав предупреждение об опасности. Один из вариантов решения этой проблемы — временно отключить защиту. Но делать этого не стоит — вы рискуете поставить под удар всю систему. Чаще всего антивирус не бьет тревогу просто так, а действительно старается уберечь вас от проблем.
      Это происходит очень редко, но иногда у защитных решений случаются ложные срабатывания — и вполне безобидный ресурс вызывает подозрение. Если вы уверены в надежности сайта, а защита не пускает, то эту проблему можно решить, не отключая защиту. Разберем, как это сделать на примере Kaspersky Internet Security и Kaspersky Security Cloud.
      Остановлен переход на недоверенный сайт — что делать
      Увидев сообщение «Остановлен переход на недоверенный сайт», прежде всего подумайте, когда и как вы планируете пользоваться соответствующей страницей. Если вы не планируете заходить на нее в будущем, быстрее всего — и безопаснее тоже — разрешить доступ к ней только на один раз.
      Это можно сделать прямо из браузера, даже не заходя в настройки. Антивирус не запомнит ваш выбор и в следующий раз опять предупредит вас — чтобы вы могли принять обоснованное решение.
      На странице с предупреждением нажмите Показать детали. Вы увидите причину, по которой антивирус считает веб-ресурс небезопасным, а также дату, когда он попал в список неблагонадежных. Еще раз взвесив все риски, кликните Перейти на сайт, и страница загрузится. Разовая разблокировка сайта
      Если же вы планируете часто заходить на сайт, лучше добавить его в список доверенных ресурсов.
       
      View the full article
    • От Deadman
      что такое клабы и как их накопить?

      Ура, мы отпраздновали маленький юбилей Kaspersky Club - целых 15 лет! 
       
      Приглашаем всех участников поездки выкладывать здесь фотографии и делиться благодарностями и впечатлениями! 😀
       
      Instagram от @Meravigliosaaa: https://www.instagram.com/p/CTKdDEeDtHK/
      Instagram от @7Glasses: https://www.instagram.com/p/CTUUGCDCcxD/
       
      Фото от:
       
      @dkhilobok: https://box.kaspersky.com/d/df3bce01a54b4fea9ff2/
      @Deadman: https://photos.app.goo.gl/oBYejp46KCJdBwxA7
      @kmscom: https://cloud.mail.ru/public/QSCG/xetMgcwdL
      @den: https://mfd.sk/AmLpA9h2RMEcmx759_ovnkGr
      @SaiTa: https://disk.yandex.by/d/fR12Qqor6DLtCg
      @kilo: https://disk.yandex.ru/d/7Fl1XZsipZ3nzw
      @7Glasses: https://drive.google.com/drive/folders/1zkEyAC6Vl5_rtb4SFm4mcSsrW34JbITD
      @oit: https://drive.google.com/file/d/1jkhpgptakjyjFHNXWp1i1koaSqIniUPZ/view
      @Demiad: https://1drv.ms/a/s!AtGaXkACab2VhuxnyPs5FfpSiyJZAg
      @Mrak: https://cloud.mail.ru/public/gPeU/CrpvzcyUA
       
      Фото из офиса Kaspersky от @dkhilobok: https://box.kaspersky.com/d/c902f3f9c7ba44558ec7/
       
      Общая ссылка на все предыдущие 11 источников от @Mrak: https://1drv.ms/f/s!AsfFGlR4zTsump9T1a9Vmq1eVaTbVQ (13 ГБ) (Предположительно будет доступна до середины декабря 2021)
       
      Ссылки на облако или архивы будут постепенно добавлены в шапку темы.
      Добавляйте также сюда ссылки на ваши посты в Instagram, Twitter, VK, Facebook и т. д.
       

×
×
  • Создать...