Suç hizmetlerinin siber yeraltı menüsü artık isteğe bağlı, insan destekli CAPTCHA kırma işlevi içeriyor, araştırmacılar uyarıyor – bu, web sitesi yöneticilerinin sonuç olarak ek anti-bot korumaları uygulamaya çalışması gerektiği anlamına geliyor.
CAPTCHA’lar, çoğu İnternet kullanıcısına, insan olduklarını doğrulamak için kullanılan meydan okumalar olarak aşinadır. Turing testi bitişik bulmacaları genellikle görsel olarak bulanık veya bozuk metin olarak sunulan bir kelimeyi yazmayı veya belirli bir nesneyi içeren bir ızgaradaki tüm fotoğrafları tıklamayı içerir. Fikir, e-ticaret ve çevrimiçi hesap sitelerindeki botları ayıklamaktır.
Ancak, CAPTCHA etkinliği söz konusu olduğunda biraz uzay yarışı yaşanıyor; Örneğin, yorumlamak için kıvrımlı harfler veya sayılar sunanlar gibi daha zor bulmacalar, artık makine öğrenimi ile yenilebilir. Bu, yakın tarihli bir Trend Micro analizine göre, eğri bir nesneyi doğru konuma getirmek için döndürmek gibi daha gelişmiş CAPTCHA zorluklarının yükselişini ateşledi. Ancak, siber suçluların artık bunları aşmak için seçenekleri de var.
Trend Micro’daki araştırmacılar, “Çevrimiçi hizmet operatörleri, otomatik Web trafiği CAPTCHA’ları botlar kullanarak değil, insan CAPTCHA çözücüler kullanarak yendiğinde bir dizi farklı zorlukla karşı karşıya kalıyor” dedi. “Öncelikle bu pazar talebine yönelik birkaç hizmet oluşturuldu.”
Trend Micro’ya göre bot operatörleri, bir CAPTCHA çözme hizmetini kullanmak için sunulduğunda CAPTCHA’yı otomatik olarak yakalayan ve hizmet sağlayıcıya entegre bir API çağrısı aracılığıyla gerçek zamanlı olarak gönderen otomatik saldırı komut dosyaları oluşturabilir. CAPTCHA kırma hizmeti, çözümü bulması için bir insan çözücüye dokunur ve yanıtı, hedeflenen web sitesindeki yanıt alanına girilmesi için birkaç saniye sonra otomatik komut dosyasına geri gönderir.
Araştırmacılar, bu tür hizmetlerin ilgi gördüğünü belirtti; örneğin, kullanılmış moda, ev ve elektronik eşyaların alım satımı için Poshmark sosyal ticaret pazarında yakın zamanda gerçek dünyadan bir saldırı gözlemlendi.
Trend Micro’ya göre “Gözlemlerimiz, bilinen bir CAPTCHA kırma hizmetine Poshmark’ın web sitesinden CAPTCHA’ları hedefleyen çok sayıda CAPTCHA çözme görev isteği olduğunu gösteriyor.” “Topladığımız verilere göre, bu CAPTCHA çözme istekleri, bilinen bir Poshmark robotundan kaynaklandı.”