0
0
O menu cyber-underground de serviços criminais agora inclui a funcionalidade de quebra de CAPTCHA sob demanda e assistida por humanos, alertam os pesquisadores – o que significa que os administradores de sites devem procurar implementar proteções anti-bot adicionais como resultado.
Os CAPTCHAs são familiares para a maioria dos usuários da Internet como desafios que são usados para confirmar que eles são humanos. Os quebra-cabeças adjacentes ao teste de Turing geralmente envolvem digitar uma palavra apresentada visualmente como texto borrado ou distorcido, por exemplo, ou clicar em todas as fotos em uma grade que contêm um determinado objeto. A ideia é eliminar bots em sites de e-commerce e contas online.
No entanto, tem havido um pouco de corrida espacial quando se trata de eficácia CAPTCHA; Quebra-cabeças mais difíceis, como aqueles que apresentam letras ou números sinuosos para interpretar, agora podem ser derrotados pelo aprendizado de máquina, por exemplo. Isso provocou o surgimento de desafios mais avançados do CAPTCHA, como girar um objeto para estar em sua posição correta, de acordo com uma análise recente da Trend Micro. No entanto, os cibercriminosos agora têm opções para contornar isso também.
“Os operadores de serviços on-line enfrentam uma série de desafios diferentes quando o tráfego automatizado da Web derrota os CAPTCHAs não usando bots, mas usando solucionadores CAPTCHA humanos”, explicaram os pesquisadores da Trend Micro. “Foram criados vários serviços voltados principalmente para essa demanda do mercado.”
Para usar um serviço de resolução de CAPTCHA, os operadores de bot podem criar scripts de ataque automatizados que capturam automaticamente o CAPTCHA quando apresentado, enviando-o em tempo real por meio de uma chamada de API integrada ao provedor de serviços, de acordo com a Trend Micro. O serviço de quebra CAPTCHA toca em um solucionador humano para elaborar a solução e envia a resposta de volta para o script automatizado alguns segundos depois para ser inserida no campo de resposta no site de destino.
Os pesquisadores observaram que esses serviços estão vendo a adesão; por exemplo, um recente ataque do mundo real foi observado no mercado de comércio social Poshmark para compra e venda de itens usados de moda, casa e eletrônicos.
“Nossas observações mostram que há inúmeras solicitações de tarefas de resolução de CAPTCHA para um serviço conhecido de quebra de CAPTCHA que estão visando CAPTCHAs do site da Poshmark”, de acordo com a Trend Micro. “A partir dos dados que reunimos, essas solicitações de resolução de CAPTCHA se originaram de um bot Poshmark conhecido.”
FONTE: DARK READING