Siber Suçluların Güvenliği Yenmesine Yardımcı Olan İnsan Çözücülerle CAPTCHA’yı Kıran Hizmetler


30 Mayıs 2023Ravie Lakshmanan

CAPTCHA

Siber güvenlik araştırmacıları, yasal kullanıcıları bot trafiğinden ayırmak için tasarlanmış sistemleri atlamak için satışa sunulan CAPTCHA’yı ihlal eden hizmetler hakkında uyarıda bulunuyor.

Trend Micro geçen hafta yayınlanan bir raporda, “Siber suçlular CAPTCHA’ları doğru bir şekilde kırmaya hevesli olduklarından, öncelikle bu pazar talebine yönelik birkaç hizmet oluşturuldu.”

“Bu CAPTCHA çözme hizmetleri, [optical character recognition] teknikler veya gelişmiş makine öğrenimi yöntemleri; bunun yerine, CAPTCHA’yı bozan görevleri gerçek insan çözücülere ayırarak CAPTCHA’ları bozarlar.”

CAPTCHA – Bilgisayarları ve İnsanları Ayırt Etmek için Tamamen Otomatik Genel Turing testinin kısaltması – spam ile mücadele ve sahte hesap oluşturulmasını kısıtlama amacıyla gerçek insan kullanıcıları otomatik kullanıcılardan ayırmaya yönelik bir araçtır.

CAPTCHA mekanizmaları, yıkıcı bir kullanıcı deneyimi olabilse de, bot kaynaklı web trafiğinden gelen saldırılara karşı koymak için etkili bir araç olarak görülüyor.

Yasa dışı CAPTCHA çözme hizmetleri, müşteriler tarafından gönderilen istekleri, çözümü geliştiren ve sonuçları kullanıcılara geri gönderen insan çözücülere devrederek çalışır.

Bu da, CAPTCHA’yı göndermek için bir API’yi çağırarak ve sonuçları almak için ikinci bir API’yi çağırarak elde edilir.

CAPTCHA

Güvenlik araştırmacısı Joey Costoya, “Bu, CAPTCHA’yı ihlal eden hizmetlerin müşterilerinin çevrimiçi web hizmetlerine karşı otomatik araçlar geliştirmesini kolaylaştırıyor” dedi. “Ve gerçek insanlar CAPTCHA’ları çözdüğü için, bu testler aracılığıyla otomatik bot trafiğini filtreleme amacı etkisiz hale geliyor.”

Hepsi bu değil. Tehdit aktörlerinin, kaynak IP adresini gizlemek ve robot engellerini aşmak için CAPTCHA kırma hizmetleri satın aldığı ve bunları proxy yazılım teklifleriyle birleştirdiği gözlemlendi.

YAKLAŞAN WEBİNAR

Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!

Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!

Koltuğumu Kurtar!

Proxyware, bir “pasif gelir” karşılığında bir kullanıcının kullanılmayan internet bant genişliğini diğer taraflarla paylaşmaya yönelik bir yardımcı program olarak pazarlansa da, esasen onları çalıştıran cihazları konut proxy’lerine dönüştürür.

Popüler sosyal ticaret pazarı Poshmark’ı hedefleyen bir CAPTCHA kırma hizmetinin bir örneğinde, bir bottan kaynaklanan görev istekleri bir proxyware ağı aracılığıyla yönlendirilir.

Costoya, “CAPTCHA’lar spam ve bot istismarını önlemek için kullanılan yaygın araçlardır, ancak CAPTCHA’yı bozan hizmetlerin artan kullanımı CAPTCHA’ları daha az etkili hale getirdi” dedi. “Çevrimiçi web hizmetleri, kötüye kullananların kaynak IP’lerini engelleyebilirken, proxy yazılımlarının benimsenmesindeki artış, bu yöntemi CAPTCHA’lar kadar dişsiz hale getiriyor.”

Bu tür riskleri azaltmak için, CAPTCHA’ları ve IP engelleme listesini diğer kötüye kullanım önleme araçlarıyla desteklemek için çevrimiçi web hizmetleri önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link