Перейти к содержанию

Почему на CAPTCHA больше нельзя полагаться | Блог Касперского


Рекомендуемые сообщения

Как правило, если какой-то интерфейс создан для человека, то боту к нему обращаться совершенно незачем. Программы общаются друг с другом через API, так что в подавляющем большинстве случаев бот, пытающийся получить доступ к онлайновому ресурсу или сервису через пользовательский интерфейс, — это попытка эксплуатации механизмов сервиса в интересах каких-либо злоумышленников. Поэтому с такими ботами принято бороться.

Долгие годы чуть ли не единственным инструментом борьбы с ботами-нелегалами была CAPTCHA — механизм, позволяющий определить, человек ли обратился к веб-сервису. Многие сервисы, в том числе онлайновые системы банков, страницы программ лояльности, да и просто любые сайты, на которых есть хоть какой-то личный кабинет, используют ее до сих пор. Но так ли надежна капча?

На панельной дискуссии, посвященной веб-атакам и онлайн-мошенничеству, которая состоялась в ходе RSA Conference 2021, исследователи обсуждали опыт, извлеченный из атак на крупные организации и полученный при изучении образа действий злоумышленников. Один из докладчиков, Дэн Вудс, в прошлом сотрудник правоохранительных органов, упомянул о достаточно необычном эксперименте. В какой-то момент он притворился соискателем абсолютно любой работы в сети и в результате прошел обучение на сотрудника клик-фермы, которая занималась решением той самой CAPTCHA. Он был поражен объемами работы и нищенской оплатой труда (порядка трех долларов в день), но главным итогом этого эксперимента стал вывод: CAPTCHA больше не нужна.

Что такое клик-ферма

В целом клик-фермы — явление далеко не новое. Они достаточно давно использовались мошенниками для схемы кликфрода, то есть махинаций с бюджетами на рекламу, эффективность которой считается по кликам на баннер или ссылку, а также всевозможного накручивания лайков, просмотров, голосов и любых других показателей, которое нельзя автоматизировать.

Выглядит это очень просто: огромное количество низкооплачиваемых работников кликает по определенной ссылке, перелогинивается, кликает снова и так до бесконечности. Когда-то этой работой занимались боты, но с тех пор как антимошеннические алгоритмы научились распознавать их активность, пришлось подключать настоящих, живых людей.

Так вот, как следует из рассказа Вудса, клик-фермы также поставляют услуги «решения CAPTCHA». То есть боты, которые ведут атаку на какие-либо онлайновые сервисы (чаще всего связанные с финансами), сталкиваются с проверкой и делегируют ее человеку. И это до неприличия дешевая услуга.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Помню лет 8 назад зарегистрировался на такой клик-ферме. Посидев минут 10, понял, что как раз если сидеть целый день и вбивать эти капчи, то получится долларов 3-5 в сутки, и глаза на выкате ?

Ссылка на сообщение
Поделиться на другие сайты

@ska79 за месяц конечно выходит неплохо, особенно для безработных или студентов. Но на мой взгляд это очень сложно, и не стоит оплачиваемых денег. Чтобы постоянно нажимать эти капчи, надо быть постоянно сконцентрированным и щелкать с высокой интенсивностью. И насколько помню, там были штрафы с определенного количества неправильно введенных капч (например среди непроверенных системой капч, предлагались к угадыванию уже проверенные системой). Поэтому наверное 3-5 баксов более расчетная цифра, чем реальная

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От BumerDX
      Здраствуйте.
      Как добавить браузер Firefox для постоянной проверки на вирусы при откритии ? У меня лицензионный антивирус Kaspersky Internet Security.
    • От KL FC Bot
      Казалось бы, про уловки телефонных мошенников, охотящихся за деньгами, знают уже все от мала до велика. О них рассказывают друг другу знакомые и трубят в новостях. Но схемы становятся сложнее, злоумышленники — изобретательнее. Мошенники все чаще показывают чудеса слаженной командной работы и динамичности сюжета — так что опознать их непросто даже тем, у кого за плечами немалый опыт. Сегодня дадим слово несостоявшейся жертве одного из таких разводов, в ходе которого опасное предложение последовало только спустя полтора часа артподготовки.
      Акт первый: невидимый перевод и украденные паспортные данные
      Началась история банально: со звонка на мобильный. Звонящая, явно работая по сценарию, представилась сотрудницей одного известного банка (пусть будет «банк А») и сообщила, что по моему счету провели операцию — перевели 8000 рублей некоему Н. Можно было бы бросить трубку сразу, но «сотрудница» ничего от меня не требовала, а номер не выглядел подозрительным. Я продолжила разговор и узнала, что якобы мой лицевой счет скомпрометирован и паспортные данные попали к мошенникам.
      Я проверила операции по приложению — переводов не было. На это у девушки был готов ответ — операция не будет видна в приложении, потому что совершена с лицевого счета, а не с карты, а лицевой счет один для всех продуктов в банке.
      В итоге я проговорила с ней минут 20, и за это время у меня не возникло никаких подозрений: личные данные и пароли так и не спрашивали, CVV не уточняли. Зато убедительно рассказывали, как будут проверять отделение банка, куда я недавно ходила, и убеждали, что на сумму остатка по моим счетам дадут страховку.
      Вместе мы «составили обращение» об утечке паспортных данных. Здесь начинается самое интересное: звонящая предупредила, что ей нужно сообщить в другие банки, где у меня есть счета, ведь паспортные данные одни на всех. Я честно назвала еще два банка, услугами которых пользуюсь.
       
      View the full article
    • От KL FC Bot
      Несколько версий UAParser.js, популярной JavaScript-библиотеки, были скомпрометированы — неизвестные злоумышленники внедрили в них вредоносный код. Все бы ничего, но эта библиотека используется во множестве проектов — согласно статистике на странице разработчика, каждую неделю ее скачивают от 6 до 8 миллионов раз. Таким образом, речь идет об одной из самых масштабных атак через цепочку поставок.
      Всего были скомпрометированы три версии библиотеки: 0.7.29, 0.8.0, и 1.0.0. Всем пользователям и администраторам следует срочно обновить библиотеки до версий 0.7.30, 0.8.1 и 1.0.1 соответственно.
      Что такое UAParser.js и откуда у него миллионы загрузок
      Библиотека UAParser.js служит для разбора строк user-agent, отправляемых браузером. Она используется на множестве веб-сайтов и в процессе разработки софта различных компаний, в том числе Facebook, Apple, Amazon, Microsoft, Slack, IBM, HPE, Dell, Oracle, Mozilla. Более того, среди пользователей библиотеки есть популярные проекты вроде фреймворка Karma для тестрирования кода, которые сами по себе используются многими другими разработчиками. Это еще больше увеличивает масштабы атаки, добавляя дополнительное звено в цепочке поставок.
       
      View the full article
    • От KL FC Bot
      Мы часто пишем о достаточно очевидных признаках фишинга — несоответствии почтового адреса отправителя заявленной им компании, логических нестыковках в письмах, имитации нотификаций онлайновых сервисов. Но заметить фальшивку может быть не так просто — видимое получателю поле с почтовым адресом отправителя можно подделать. Да, в массовых фишинговых рассылках такое встречается нечасто, но в целевом фишинге это, к сожалению, не редкость. Если письмо выглядит настоящим, но по каким-то причинам подлинность его отправителя вызывает у вас сомнения, имеет смысл копнуть чуть глубже и проверить технический заголовок Received. В этом посте мы расскажем, как это сделать.
      Поводы для сомнений
      В первую очередь вас должна насторожить необычность запроса. Любое письмо, которое требует от вас каких-то нестандартных или нехарактерных для вашей рабочей роли действий — повод присмотреться к нему внимательнее. Особенно если отправитель аргументирует свой запрос неимоверной важностью (это личный запрос генерального директора!) или же срочностью (в течение двух часов надо оплатить счет!). Это распространенные психологические приемы фишеров. Кроме того, насторожиться следует, если вас просят:
      перейти по внешней ссылке из письма и ввести там учетные или платежные данные; скачать и открыть файл (особенно исполняемый); осуществить действие, связанное с денежными операциями или с доступом в системы или сервисы.  
      View the full article
    • От Endless
      Здравствуйте, хотел установить Kaspersky Internet Security, но выдает ошибку 1303. 
×
×
  • Создать...