Капча устарела

На онлайновой RSA Conference 2021 исследователи рассказали о своем опыте работы с клик-фермами, позволяющими обходить капчу.

Как правило, если какой-то интерфейс создан для человека, то боту к нему обращаться совершенно незачем. Программы общаются друг с другом через API, так что в подавляющем большинстве случаев бот, пытающийся получить доступ к онлайновому ресурсу или сервису через пользовательский интерфейс, — это попытка эксплуатации механизмов сервиса в интересах каких-либо злоумышленников. Поэтому с такими ботами принято бороться.

Долгие годы чуть ли не единственным инструментом борьбы с ботами-нелегалами была CAPTCHA — механизм, позволяющий определить, человек ли обратился к веб-сервису. Многие сервисы, в том числе онлайновые системы банков, страницы программ лояльности, да и просто любые сайты, на которых есть хоть какой-то личный кабинет, используют ее до сих пор. Но так ли надежна капча?

На панельной дискуссии, посвященной веб-атакам и онлайн-мошенничеству, которая состоялась в ходе RSA Conference 2021, исследователи обсуждали опыт, извлеченный из атак на крупные организации и полученный при изучении образа действий злоумышленников. Один из докладчиков, Дэн Вудс, в прошлом сотрудник правоохранительных органов, упомянул о достаточно необычном эксперименте. В какой-то момент он притворился соискателем абсолютно любой работы в сети и в результате прошел обучение на сотрудника клик-фермы, которая занималась решением той самой CAPTCHA. Он был поражен объемами работы и нищенской оплатой труда (порядка трех долларов в день), но главным итогом этого эксперимента стал вывод: CAPTCHA больше не нужна.

Что такое клик-ферма

В целом клик-фермы — явление далеко не новое. Они достаточно давно использовались мошенниками для схемы кликфрода, то есть махинаций с бюджетами на рекламу, эффективность которой считается по кликам на баннер или ссылку, а также всевозможного накручивания лайков, просмотров, голосов и любых других показателей, которое нельзя автоматизировать.

Выглядит это очень просто: огромное количество низкооплачиваемых работников кликает по определенной ссылке, перелогинивается, кликает снова и так до бесконечности. Когда-то этой работой занимались боты, но с тех пор как антимошеннические алгоритмы научились распознавать их активность, пришлось подключать настоящих, живых людей.

Так вот, как следует из рассказа Вудса, клик-фермы также поставляют услуги «решения CAPTCHA». То есть боты, которые ведут атаку на какие-либо онлайновые сервисы (чаще всего связанные с финансами), сталкиваются с проверкой и делегируют ее человеку. И это до неприличия дешевая услуга.

Задача сотрудника клик-фермы — как можно быстрее выбрать гидранты, расшифровать надпись, решить уравнение, причинить вред человеку и так далее — в общем, выполнить то задание, которое, по задумке создателей данной капчи, поможет отличить человека от робота.

Возможно, вы видели какую-то вариацию на тему вот такой картинки, которая ходит по Интернету:

Интернет-мем про роботов и CAPTCHA

Интернет-мем про роботов и CAPTCHA

Так вот, по всей видимости, она перестала быть шуткой.

Так ли вам нужна CAPTCHA?

Разумеется, далеко не все преступники пользуются услугами клик-ферм — некоторые, например, до сих пор пытаются создать искусственный интеллект, способный решить загадку самостоятельно. Казалось бы, имеет смысл продолжать использовать этот механизм как еще один уровень защиты. Но не все так просто.

Пользователи никогда не считали механизм CAPTCHA удобным и комфортным. Он всегда оставлял простор для ошибки — человек может случайно кликнуть не туда, не увидеть все символы, не переключить раскладку клавиатуры. Даже если человек ввел все правильно, он все равно воспринимает капчу как лишнее препятствие, которое негативно влияет на его опыт взаимодействия с информационной системой (UX).

То есть получается, что от злоумышленников CAPTCHA уже не защищает, а вот легитимных клиентов раздражает и отпугивает. Поэтому, вероятно, настала пора отказаться от этого устаревшего механизма.

Альтернативы CAPTCHA

К счастью, CAPTCHA не единственный способ определения того, кто пытается получить доступ к системе — человек или машина. Есть и более современные методы. Например, в арсенале Kaspersky Fraud Prevention имеется технология Advanced Authentication, которая позволяет отказаться от лишних шагов аутентификации и повышает удобство для легитимных пользователей.

Суть технологии заключается в анализе сотен параметров, характеризующих поведение пользователя, пассивных биометрических показателей, данных об устройстве, с которого кто-то пытается аутентифицироваться, об его окружении, и множества иных. Благодаря технологиям машинного обучения Advanced Authentication позволяет принять быстрое верное решение: позволить ли пользователю войти, провести дополнительную верификацию или ограничить его доступ. В том числе технология позволяет точно определить, человек ли обратился к сервису или машина. Подробнее о решении можно узнать вот здесь.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.