Бот который вводит капчу: программа для работы на ruCaptcha.

  • Главная   /  Разное   /  
  • Бот который вводит капчу: программа для работы на ruCaptcha.

Бот который вводит капчу: программа для работы на ruCaptcha.

«Я не робот!»: капча становится сложнее год от года, злит живых людей, и от неё все хотят избавиться

Интернет

Игорь Николаев

Разработчики самой ненавистной системы защиты в интернете делают её настолько запутанной, что капчу уже не могут распознать ни боты, ни живые люди.

Иллюстрация Софьи Гражевич

Введение капчи — самый распространённый в интернете метод борьбы против спам-ботов. Пользователь ресурса должен вписать визуально искажённое слово (выдается алгоритмом случайно) в специальное поле или выбрать изображения какого-либо предмета из ряда картинок, чтобы доказать, что он — не робот, а живой человек. Считается, что этот механизм уже более 20 лет противостоит мошенникам.

Хакеры и создатели капч годами играют в «кошки-мышки». Хакеры взламывают простые капчи, после чего разработчики делают их сложнее. При этом они стараются сохранить изначальный принцип «любой человек вне зависимости от возраста, образования, языка должен иметь возможность пройти капчу», но специалисты по кибербезопасности заявляют, что всё зашло слишком далеко и капчи пора отменять — роботы взламывают любые новые версии, а вот для живых людей формы стали слишком сложными.

В середине 1990-х интернет-сервис Altavista стал самой популярной в мире поисковой системой. Он был одним из первых ресурсов для поиска информации в интернете. Вместе с обычными пользователями сервисом полюбили и злоумышленники, размещавшие при помощи ботов вредоносные ссылки через Altavista. Специалисты долго бились над решением проблемы, но решение пришло только в сентябре 2000 года.

Команда инженеров из американского университета Карнеги-Меллона под руководством Луиса фон Ана (позже прославившегося, как создатель платформы для изучения языков Duolingo) искала способ, как при регистрации новых аккаунтов на сайтах отфильтровать аккаунты, создаваемые спам-ботами и автоматическими программами. Так появилась CAPTCHA, что расшифровывается как Completely Automatic Public Turing Test to tell Computers Humans Apart (полностью автоматизированный публичный тест Тьюринга, призванный различить компьютер и человека).

Алан Тьюринг Фото Getty Imagrs

Система названа в честь британского математика середины 20 века Алана Тьюринга, отца-основателя искусственного интеллекта. В русский язык пришло лишь фонетическое название термина — капча, и оно никак не расшифровывается.

Концепция капчи Алана Тьюринга сама по себе гениальна; но по мере того, как возможности роботов становятся всё более изощренными, системы капчи становятся всё более сложными, что приводит к очень инвазивному [не органичному, не комфортному] взаимодействию с пользователем.

Мэтт Блисс

Капча представляла собой картинку со специальным визуально искажённым текстом, который не могли распознать программные алгоритмы того времени, но легко мог прочитать живой человек. Слово нужно было ввести в специальное поле, и только тогда пользователь мог продолжить работу с сайтом, подтвердив, что он — не робот. Способ оказался столь простым и эффективным, что вскоре распространился по всему миру.

Первыми капчу стали использовать в Yahoo (которая вскоре приобрела и Altavista), чтобы не дать роботам создавать бесплатные учётные записи электронной почты, с которых потом рассылался бы спам. Позже систему стали внедрять и другие ресурсы.

Спамеры быстро придумали, как обойти капчу — они стали платить живым людям за её ввод. Такой вид заработка стал особенно популярным в бедных странах. Но даже это не повлияло на популярность капчи. Более того, её создатели однажды подумали, что простой перевод изображения в текст хотя и позволяет отсеивать спам-ботов, но не приносит никакой практической пользы.

В 2008 году фон Ан оптимизировал капчу, создав новое приложение reCAPTCHA. Как и ранее, здесь так же нужно было вводить текст с картинки в специальное поле, но на сей раз это уже были не случайные буквы, а слова из настоящих архивных документов. К тому времени компьютерные программы уже могли точно распознавать печатный текст, но в старых бумагах чернила часто расплывались и выцветали, мешая компьютеру определить какое-либо слово. Живой человек легко справлялся с этой задачей.

Приложение изначально распознавало слова из архивных номеров газеты The New York Times. В 2009 году сервис выкупил Google, и пользователи стали вводить в поле слова из реальных старых книг, помогая их оцифровывать.

Изображение капчи в reCAPTCHA

Проверка стала включать в себя два внешне искажённых слова. Одно из них уже было распознано, и именно от него зависел результат проверки. Второе же брали с отсканированной страницы книги, не обработанной системой распознавания текста. Компьютер изначально не знал, как правильно расшифровывается второе слово, и показывал его нескольким тысячам пользователей. Затем система отслеживала, как пользователи чаще всего расшифровывают слово, и определяла этот вариант как верный. Для проверки можно было ввести лишь одно, тестовое слово, а не оба — но об этом нигде не упоминалось.

Похожие эксперименты проводили и по распознаванию изображений из Google Street View и Google Maps. Вскоре оказалось, что роботы могут взломать даже сложнейшие изображения, и потому сотрудникам Google пришлось искать новые выходы.

Как и в случае с оригинальной капчей, спамеры вновь начали предлагать живым людям заработать на вводе рекапчи. Не остался в стороне и искусственный интеллект. В апреле 2014 года Google сообщил, что, по его исследованиям, новые спам-роботы уже успешно распознают капчу с точностью до 99,8%, что говорит о бессмысленности её дальнейшего использования.

В декабре 2014 года Google оптимизировал капчу, запустив новую систему NO CAPTCHA reCAPTCHA. Её суть в том, что контакты пользователя и системы сведены до минимума. Даже сверхсовременные спам-боты всё же не могут полностью копировать поведение живого человека на сайте, а механизмы Google умеют отличать людей от роботов.

Как только посетитель зашёл на сайт, тут же запускается скрипт, сканирующий его поведение, и стало необязательным использовать трудночитаемые куски старых текстов. По сути, пребывание пользователя на сайте — это и есть тест на спамера.

Настоящий человек не очень хорошо контролирует свои двигательные функции, поэтому он не может двигать мышью одним и тем же способом более одного раза при нескольких взаимодействиях, даже если он очень сильно старается.

Бот же будет взаимодействовать со страницей, не перемещая мышь.

Шуман Гхосемаджумдер

Если у системы возникают подозрения в том, что пользователь — бот, то ему предлагают нажать на кнопку «Я не робот». Иногда у системы и после этого остаются сомнения, и тогда пользователю предлагают дополнительные проверки — например, выбрать из нескольких картинок все, на которых изображены светофоры или пожарные гидранты.

Разработчики NO CAPTCHA reCAPTCHA не распространяются насчёт особенностей работы механизма, чтобы этими знаниями не воспользовались взломщики. Система постоянно дорабатывается, в мае 2018 года на конференции Google I/O 2018 представили последнюю на сегодняшний день её версию — reCAPTCHA 3.

NO CAPTCHA reCAPTCHA

IT-специалист Григорий Бакунов считает, что современная reCAPTCHA, как и другие системы, в первую очередь защищает сайты от ботов с помощью аналитики, а не картинок. Сейчас при нажатии на кнопку «пройти капчу» пользователя часто пропускает без необходимости «прокликивания» изображений.

Это потому, что когда-то раньше он уже делал это упражнение, браузер и «куки» не поменялись, и судя по поведению курсора, он ведёт себя как настоящий, «мясной» пользователь — нет смысла мучать его всякой ерундой.

Не только Google работает над тем, как улучшить систему капчи. Специалисты пакистанского Института информационных технологий КОМСАТС хотели предложить пользователям классифицировать фото человеческих лиц по их выражению, полу или расе.

Были также предложения делать капчу на основе детских стишков, популярных в той стране, где вырос пользователь — планировалось, что это защитит ресурс не только от ботов, но и от живых людей из других стран, вводящих капчу за деньги.

В поиске лучшего варианта капчи предлагалось найти изображения свиней, изображённых в карикатурной форме с солнечными очками. В 2010 году специалисты предлагали использовать на капчах древние наскальные рисунки, так как компьютеры в то время ещё не умели их распознавать. Проблема всех этих альтернатив — они сложны не только для ботов, но и для обычных людей.

Дело не только в наших физических возможностях, нам нужно что-то межкультурное, межязыковое. Нам нужно то, что подходит для кого-то из Греции, кого-то из Чикаго, кого-то из Южной Африки, Ирана и Австралии одновременно. И оно должно быть независимым от культурных сложностей и различий. Нам нужно что-то, что легко для обычного человека, это не должно быть привязано к определенной подгруппе людей, и в то же время это должно быть сложно для компьютеров. Это очень ограничивает то, что вы на самом деле можете сделать. И это должно быть что-то, что человек может делать быстро и без раздражения.

Джейсон Полакис

В мае 2021 года специалисты из компании Cloudflare, специализирующейся на работе с DNS, предложили вовсе отказаться от капчи, используя вместо неё USB-ключи безопасности. Они уже разработали такой механизм защиты и предлагают протестировать его у себя на сайте.

В Яндексе также занимаются вопросами упрощения капчи. За последний год они сильно упростили картинки и сделали режим, где не нужно выполнять никаких заданий.

В разговоре с TJ руководитель сервиса Капчи в «Яндексе» Алексей Тощаков рассказал, что капча — это один из инструментов защиты сервисов и он помогает остановить существенный поток роботов. А комфорт людей можно увеличивать, если развивать алгоритмы, которые принимают решение о показе капчи. Например, в этом году «Яндекс» внедрил улучшение, которое позволило показывать капчу в десять раз реже в очень непростом срезе — режим инкогнито.

Специалисты заявляют, что благодаря капче спама в интернете с каждым годом становится всё меньше. Однако и спамеры постоянно совершенствуют свои навыки.

В 2018 году специалисты из Ланкастерского университета, Северо-Западного университета и Пекинского университета применили концепцию генеративно-состязательной сети, чтобы создать механизм для быстрого и точного ввода капчи.

Есть множество онлайн-сервисов и библиотек для решения капчи, как-то GRIS, Clarifai, Alchemy или NeuralTalk. Они используют технологии на базе глубокого обучения и, по мнению, специалистов, весьма эффективны.

Пример эффективного сервиса решения капчи, доступного через API — DeCaptcher. Работая на базе системы оптического распознавания символов, сервис решает капчу и предоставляет пользователю файл для загрузки, где указано время, изображение капчи и текст, применённый для её решения. Популярны и инструменты с открытым исходным кодом, как-то UnCaptcha и Buster. Они решают звуковые капчи, предназначенные для пользователей с проблемами со зрением.

Обычно системы искусственного интеллекта способны справляться лучше, чем люди, потому что, например, они не страдают от раздражения. Они бесконечно терпеливы, им плевать на трату времени.

Мауро Мильярди

До сих популярны сервисы, где капчу за деньги вводят живые люди. Такие ресурсы экономически выгодны для спамеров. Самые популярные из них — 2captcha и anti-captcha — предлагают решить 1000 капч всего за 50 центов. По статистике на сайте anti-captcha, больше всего работников по вводу капчи за деньги живёт в Венесуэле, Индонезии, Вьетнаме и Индии.

По словам Григория Бакунова, для борьбы с капчей чаще всего используются «фермы», т.е. собранные вместе группы людей, которые «проходят» капчу вместо ботов, выполняя эту рутинную операцию тысячи и десятки тысяч раз в день. Чаще всего это пользователи из Пакистана, Филиппин, Индии — стран, где русский язык слабо распространён. Поэтому всё чаще в рунете встречается капча с русскими буквами — их ввод осложнён, поэтому фермы, умеющие в русский язык, существенно невыгоднее для спамеров.

Из-за этого разработчики капчи вынуждены постоянно усложнять своё детище. Хакеры быстро учатся обходить любой новый элемент защиты, делая его неактуальным и бесполезным. Специалисты вынуждены исправлять проблему, делая капчу ещё более запутанной. Но вскоре спамеры вновь находят способ взломать механизм, и всё повторяется снова.

Капча в виде шахмат, где пользователю нужно сделать ход, чтобы доказать , что он не робот

Мем, посвящённый сложности капчи

По мере усложнения капчи появилась ещё одна проблема — сложная система защиты стала злить обычных «живых» пользователей и мешать им. Люди часто негативно относятся к сайтам, использующим капчу, и порой игнорируют их.

Если капча сделана плохо, он может быть провалена несколько раз. Например, если есть требование «выбрать все изображения с пожарным гидрантом», и всё это один большой пожарный гидрант с кончиком части на несколько пикселей на одном изображении, следует ли нажимать на него или нет? Это может сильно расстраивать пользователей, что влияет на их вовлеченность и конверсию.

Ричард Кан

Капча не подходит для слепоглухих людей. В силу физической ограниченности они не могут разгадать ни визуальную, ни звуковую капчу. Обычные же люди хуже воспринимают звуковую капчу, так как на её прослушивание уходит больше времени.

Создание удобной для пользователя капчи — не всегда простая задача, и обычно приходится искать компромисс между безопасностью и удобством использования.

Не все схемы капчи имеют одинаковый уровень удобства использования. Для некоторых из них требуется выполнение простой задачи, такой как установка флажка или наклон устройства, для других — менее удобные для пользователя способы, такие как решение сложной когнитивной задачи, перетаскивание картинок, решение загадок. Всё это вызывает недовольство рядовых пользователей.

Образец капчи при создании аккаунта на GitHub

Образец капчи при создании аккаунта на GitHub

Образец капчи при создании аккаунта на GitHub

Проблема стала ещё более актуальной с начала пандемии COVID-19. CAPTCHA используется на многих важных веб-сайтах, таких как сервисные службы. На самоизоляции людям требуется виртуальный доступ к большему количеству услуг, и «бесячая» CAPTCHA мешает людям получить доступ к основным услугам.

Специалисты по кибербезопасности ставят эффективность усложнения капчи под вопрос. Во-первых, разгадывание сложной капчи отнимает всё больше времени у пользователей. Во-вторых, роботы и спамеры всё равно обходят все уровни защиты.

Но несмотря на это, капча остаётся оптимальным вариантом защиты от спамеров, а отказ от неё чреват серьёзными последствиями. В августе 2010 года американская сеть розничных магазинов Kmart остановила лотерею по розыгрышу призов, когда хакеры начали выигрывать все подарки. Это оказалось возможным потому, что Kmart не использовал капчу.

Алексей Тощаков сообщил TJ, что в «Яндексе» для людей капчу не станут усложнять, скорее будут делать её более дружелюбной. А вот для роботов важно сохранить уровень сложности, но это непростая задача. За последний год команда Алексея протестировала ряд гипотез — как можно реже показывать людям капчу и сделать её более приятной.

Например, в прошлом году на День учителя «Яндекс» показывал капчу, где нужно было ввести слово, которое часто пишут неправильно, и выделял букву, в которой люди ошибаются. А под конец года они сделали капчу, где было что-то подбадривающее — например, «Сегодня всё получится». Роботу всё равно, а человеку приятно.

Статья создана участником Лиги авторов. О том, как она работает и как туда вступить, рассказано в этом материале.

#интернет #капча #лонгриды #лигаавторов

Как обойти reCAPTCHA от Google. Самые простые методы и их реализация

Все мы понимаем и осознаем, для чего придумана рекапча. Но согласитесь, иногда она реально достает, поэтому рано или поздно почти перед каждым встает вопрос, как обойти рекапчу. Как оказалось, обход рекапчи не так уж и сложен. Обойти возможно даже капчу от такой компании, как Google, при их-то возможностях… 

 

Как обойти reCAPTCHA?

Условно обойти рекапчу возможно двумя проверенными путями:

  1. можно использовать ее особенные и слабоватые места;
  2. можно применить новейшие технологии обхода рекапчи.

 

Помимо путей, обход рекапчи можно разделить еще и на несколько способов осуществления. То есть в том или ином пути можно использовать разные способы. Три самых популярных способа, чтобы осуществить обход рекапчи:

  1. «взламывать» непосредственно «ручками», то есть изучается, как реализована конкретная капча; изучаются способы, как обойти рекапчу, и реализуется самостоятельно;
  2. можно применять специализированные программы, чтобы осуществить «обход» рекапчи, то есть за вас уже «подумали» и создали ботов, которые способны массово и автоматизировано атаковать по несколько похожих сайтов, созданных на одинаковой платформе и использующих одинаковую капчу; таким образом подбираются «ключи» ко всем схожим сайтам и появляется возможность обойти рекапчу на них;
  3. как это ни странно, но путем использования «труда» реальных людей тоже можно обойти рекапчу.

 

Чаще всего любые вероятные обходы «рекапчи» проводят сначала вручную. А потом, если все складывается удачно, есть вероятность запуска массовых ботов. Сам процесс взлома обычно нацеливают на конкретную реализацию капчи, а не на все их разновидности сразу. Ведь, как вы знаете, хотя лидером в реализации капчи является Google reCaptcha, есть масса других вариантов.

Иногда нужно массово обойти рекапчу, но с применением программ это не получается, как тогда можно это сделать? В таких случаях, как упоминалось выше, используется банальная эксплуатация людей, вернее, только их труда. То есть идет перенаправление людей на нужные сайты для ввода капчи. Люди решают капчу, а все полученные данные перенаправляются хакеру (если можно так его назвать) в онлайн-режиме. Далее происходит банальный сбор «решений» и построение программного обеспечения на основе этих «решений» для автоматизации процесса.

 

Самые распространенные варианты, как обойти reCAPTCHA

Условно можно отсортировать варианты, как обойти рекапчу, на несколько направлений. Остро выделяются два:

  1. взлом защитника при использовании ошибок разработчиков при его создании;
  2. использование новейших технологий для преодоления и решения рекапчи.

Представьте себе, но в откровенной беседе с разработчиками защитников, если их спросить:«Как обойти рекапча?», они точно сами расскажут вам про несколько вариаций. Все мы люди, поэтому даже при разработке серьезного продукта возможен человеческий фактор. Банальная невнимательность к деталям приводит к тому, что в капчах появляются бреши, через которые можно их обойти. Естественно, вам в беседе ни один разработчик о них не скажет, но если вы заинтересованы в их обходе, значит, вам нужно найти эти бреши и применять их по своему усмотрению.

 

Самые распространенные вариации обхода reCAPTCHA из-за недоработок программистов:

  1. Обойти рекапчу, используя фиксированный набор задач. Когда-то самописная реализация капчи на своем сайте была очень популярным занятием. Различные вариации «лепились» повсеместно как опытными, так и малоопытными разработчиками. И получалось так, что редко кто задумывался о большой базе задач, вопросов или изображений, которые нужно было решать внутри капчи. И все, что было нужно, — определить «эту» базу, которая использовалась капчей. Делалось это «ручным» трудом с использованием сторонних пользователей (об этом мы уже говорили выше). Потом на такую базу составлялся скрипт-бот с использованием правильных решений, и все. Дальше уже запускался бот, и можно было легко атаковать сайты, использующие именно это капчу. Применение таких методов защиты своего сайта практически сведено к нулю, но все же изредка, — встречаются «умельцы», которые пишут себе такие, простенькие для обхода, капчи.
  2. Создание сессий, чтобы совершить обход рекапчи. Бывает такое, что само исполнение капчи выполняет сохранение верного ответа внутри сессии. А она сама не исполняется вновь после вводимого ответа пользователем. В этом случае любые «желающие» имеют возможность отследить идентификатор сессии и разузнать истинное значение капчи. Опять же, собирая такие значения, можно вычислить алгоритм, как работает шифрование рекапчи и, соответственно, найти возможность его обхода. На основе полученных данных разрабатывается бот, который потом может использоваться для атак на сайты с подобной капчей.
  3. Обход рекапчи из-за информации, содержащейся непосредственно в коде. Это случай качественной реализации защиты, но с «ложкой дегтя» из-за невнимательности самого разработчика. Этот недочет и имеет применение. То есть в некотором исполнении капчи при переадресации ее значения на сервера, она дополняется информацией: IP пользователя, ID сессии или просто уникальной последовательностью разнообразных знаков. В данном случае решением для прохождения защиты считается полное совпадение значения капчи от юзеров с ее истинным значением, созданным и записанным внутри самой сессии. Но при этом учитываются еще дополнительные данные (ID, IP), чтобы совпадало не только значение капчи, но и идентификация сессии или компьютера, на котором была впервые показана эта капча. Подобная защита от ботов реально достойна. Однако встречается ее некачественное исполнение, когда эти дополнительные значения можно легко «вытащить» непосредственно из HTML-кода страницы. Таким образом, можно легко настроить своего бота, чтобы для обхода рекапчи он считывал дополнительные значения и отправлял на сервер весь набор значений для прохождения капчи.
  4. Обход рекапчи, не изменяя IP. Часто реализация защиты происходит без фиксирования попыток на количество возможных решений и без фиксирования ограничения по времени. В этом случае поможет бот, который просто будет очень быстро перебирать возможные правильные решения в поисках истинного. terasos stiklinimas ir sulankstomos durys При этом можно использовать скрипт-робот, который будет не только перебирать, а еще и обучаться и накапливать опыт.
  5. Обход рекапчи при использовании proxy. Это один из самых актуальных вариантов, как обойти рекапчу. Как вы знаете, так сложилось, что современная «безопасность» имеет возможность ограничить количество вводов капчи по времени или вообще блокировать определенный IP-адрес. Тут и приходят на помощь уже всем известные proxy-сервера. Ведь с их возможностями и при должной настройке можно легко «зашифровать» своего бота или свой комп, чтобы он полностью «проходил» контроль безопасности. А если все же на сайте происходит вывод капчи, то при своевременной смене IP и при правильном тайм-ауте можно научить своего бота искать истинное выполнение защитника столько времени, сколько на это понадобится. Такой способ, к примеру, получается использовать на сайте ВКонтакте, где капча выводится при определенном количестве однообразных действий с одного IP.
  6. Эмуляторы работы для обхода рекапчи. Бывает определенный вид защиты, когда для ее преодоления нужно выполнить какое-то действие — нажать на кнопочку, перенести ползунок и т.д. Тут как раз и может помочь имитирование подобных действий. Все, что нужно для этого сделать, — это найти координаты расположения относительно других элементов нужного элемента для управления им при помощи бота.

 

Новейшие технологии, используемые для обхода reCAPTCHA

Места, где возможно обойти рекапчу из-за ошибок и недоработок программистов, мы указали выше. Однако многие современные средства защиты от ботов тоже знают о них и стараются не допускать в своих проектах. Но это не значит, что такие рекапчи невозможно обойти, нужно только знать, как это делается.

Развитие программных технологий не стоит на месте — это известный факт. Люди создают нейронные сети, искусственный интеллект, мощное программное обеспечение. Но не всегда это служит только во благо. Поэтому довольно часто современные технологии используются и для того, чтобы обойти рекапчу. 

Перечислим несколько популярных методов:

  1. OCR — обход рекапчи. Этот принцип подразумевает использование возможностей современных скриптов распознавать текст или изображение на картинке. То есть ваш бот, используя подобные скрипты, самостоятельно будет распознавать, что нужно ввести в поле рекапчи или на какие изображения нужно будет кликнуть для успешного прохождения защиты. В сети такие скрипты найти нетрудно. Это обучаемые боты, они со временем собирают свою «базу» решенных задач и делают все очень быстро. Однако в целом такой вариант не всегда выдает 100%-ое решение, потому что часто текст на капче настолько искажен, что его не каждый человек разберет, а роботы тем более.
  2. Обход рекапчи при помощи нейронных сетей. Если первый метод используется уже давно и многие современные разработчики капчи к нему подготовились, то к использованию нейронных сетей для обхода защиты многие еще не готовы еще. Не сложно догадаться, что раз современный искусственный интеллект легко распознает фотографии (кто изображен, пол, марку одежды, дислокацию), то проблем с капчей у него не будет. На данный момент официально была создана программа для обхода капчи компанией Vicarious, которая показала потрясающий результат с 90%-ым показателем правильного прохождения защиты. В массы этот продукт не пошел, он был только демонстрационным. Однако применение ИИ в обходе безопасности было замечено уже многократно. А это значит, что есть люди, которым под силу «обуздать» ИИ при создании ботов, чтобы обойти рекапчу на сайтах. При должном поиске таких умельцев можно найти в сети.
  3. Обход рекапчи общедоступными сервисами. Многим покажется удивительным, но обход рекапчи от Google можно осуществить при помощи другой разработки Гугла — Google Speech Recognition. Данный сервис — это гордость Google в сфере распознавания картинок и голоса. Так как он дает возможность использовать API, то его интеграция в собственную программу для обхода рекапчи не будет трудной. В финале вы получаете бота, который за счет Google обходит безопасность, предоставляемую Гуглом.

 

Как обойти reCAPTCHA, используя других людей

Этот способ трудно отнести к какому-либо из способов, путей или направлений. Поэтому имеет смысл он нем рассказать отдельно.

Это один из самых древних способов обойти защиту, но, как ни странно, он единственный дает 100%-ый результат и вообще не зависит от сложности капчи.

Все, кто хоть раз сталкивался с вопросом, как заработать в Интернете, находил такой вид заработка, как «Заработок на вводе капчи». Простые действия, вводишь символы, изображенные на картинке, в специальное поле и зарабатываешь денежку. Но никто не задавался вопросом, а для чего это нужно делать и кто и за что платит?

А суть очень простая. Имеется специальный сервис, куда приходят люди заработать на вводе капчи. Но в этот же сервис могут прийти те, кому нужно это самое решение капчи. Одни предоставляют капчи и платят, другие решают их и зарабатывают.

Для облегчения самого процесса ввода и предоставления капчи данные сервисы используют API. И получается, что прохождение самой капчи происходит в режиме реального времени. «Заработчики» вводят капчу на странице сервиса, а по факту она сразу вводится на сторонних ресурсах.

Такой способ ввода капчи необязательно используют на отдельных сервисах. Часто на посещаемых ресурсах вас просят ввести капчу, чтобы  доказать, что вы не робот, и  после этого вы получаете доступ к какому-то контенту. Однако вы вроде бы вводите на одном сайте, а на самом деле благодаря API ваше действие фиксируется совершенно на другом ресурсе.

 

Как обойти reCAPTCHA — выводы

Согласитесь, что в целом идея с вводом капчи для ограждения своих ресурсов от ботов — неплохая. Но так как технологические разработки не стоят на месте, они работают во всех направлениях. Совершенствуется защита от вредоносных программ, но в то же время совершенствуются и методы, как их обходить, и в частности рекапчу.

Если подумать, то от ПО для автоматического обхода капчи еще возможно как-то уберечься, если подходить к этому вопросу серьезно, но вот от ввода капчи руками никуда не уйдешь. И поэтому, пока существуют сервисы, где можно заработать деньги за ввод капчи, будет существовать и возможность попадания на ваш сайт нежеланных гостей.

Плюс искусственный интеллект только начинает набирать обороты. И как он будет применяться, чтобы осуществить обход рекапчи, можно только догадываться.

Вот и получается, что рекапча — это вроде и защита сайта, но в то же время и ее можно и обойти, если знать как.

Почему надоедливая капча по-прежнему актуальна для Google, электронная коммерция в битве ботов

Капча, векторная иллюстрация

Денис Лытягин | Исток | Getty Images

Вас когда-нибудь смущал видоизмененный текст, который часто появляется при попытке совершить онлайн-покупку и просит вас доказать, что вы не робот? Или у вас разболелась голова, когда вы щурились на экран, пытаясь понять, есть ли в одной из коробок велосипед, автомобиль, лодка, знак остановки или светофор?

Это называется CAPTCHA — аббревиатура, расшифровывающаяся как «Полностью автоматизированный публичный тест Тьюринга, позволяющий различать компьютеры и людей».

Тесты, изобретенные группой исследователей из Университета Карнеги-Меллон в 2000 году, обычно состоят из текста, изображений или аудио и используются в качестве меры безопасности для обнаружения активности ботов в Интернете. За исключением того, что некоторые эксперты по кибербезопасности говорят, что в дополнение к проблеме раздражения пользователей существует проблема с лежащим в основе подходом к кибербезопасности.

«Проблема, с которой мы сталкиваемся на протяжении многих лет и с которой сталкиваемся снова и снова, заключается в том, что бы вы сделали, если бы могли выглядеть как миллион людей? Ответ практически любой», — сказал Тамер Хассан, соучредитель и генеральный директор фирмы по кибербезопасности HUMAN Security, который утверждает, что система CAPTCHA уже много лет безоговорочно побеждается ботами.

Как машины становятся все более похожими на людей

Как самостоятельный инструмент кибербезопасности CAPTCHA может быть ненадежным из-за частично основанного на поведении подхода. В дополнение к отслеживанию способности пользователя решить головоломку, инструменты также отслеживают такие действия, как скорость перемещения по веб-странице или кривизна мыши. По словам Хасана, за последнее десятилетие машинное обучение и искусственный интеллект стали более похожими на людей и в некотором смысле способны решать крупномасштабные головоломки гораздо лучше, чем люди. С обширной памятью, которая позволяет машинам обрабатывать несколько вещей одновременно, решение отдельных головоломок, таких как CAPTCHA, может быть довольно простой задачей для ботов.

Фермы по решению CAPTCHA также использовались как недорогой способ разоблачения CAPTCHA. Боты могут быть запрограммированы так, чтобы они обращались к ферме по разгадке людей за границей, которая расшифровывала CAPTCHA, и все это в течение нескольких секунд.

«Мы не должны проверять наших людей; мы не должны обращаться с нашими людьми так, как будто они мошенники», — сказал Хассан старшему корреспонденту CNBC в Вашингтоне Эймону Джаверсу на рабочем саммите CNBC в октябре. «Мы должны тестировать ботов по-разному, поэтому усиливать трения с людьми — не выход».

В современном мире CAPTCHA, используемые без каких-либо дополнительных уровней защиты от кибербезопасности, как правило, недостаточны для большинства предприятий, говорит Сэнди Кариелли, главный аналитик Forrester. Однако при использовании в тандеме с другими мерами защиты CAPTCHA может быть осуществимой мерой для предотвращения атак ботов.

«Сами по себе CAPTCHA — это только часть истории для многих сайтов», — сказал Кариелли. «Во многих случаях вы можете думать о CAPTCHA как об одном кусочке головоломки».

В отчете Кариелли «Мы все ненавидим CAPTCHA, за исключением тех случаев, когда мы этого не делаем», говорится, что 19% взрослых в Соединенных Штатах отказались от онлайн-транзакций в прошлом году, когда они столкнулись с CAPTCHA.

Forrester Research

Развивающийся подход Google к обнаружению ботов

Google приобрела reCAPTCHA — службу CAPTCHA, разработанную Луисом фон Аном, одним из первых исследователей, разработавших CAPTCHA и ставшим сооснователем приложения для изучения языков Duolingo — в 2009 году., и с тех пор разработал несколько обновленных версий сервиса. Сейчас это одна из самых популярных платформ CAPTCHA.

Технология эволюционировала, чтобы сделать взаимодействие с пользователем более удобным, заявил Сунил Потти, вице-президент и генеральный менеджер Google Cloud, в заявлении для CNBC. ReCAPTCHA v3, впервые представленная в 2018 году, не требует фактического взаимодействия с конечным пользователем. Согласно веб-сайту Google Developers, reCAPTCHA v3 отслеживает взаимодействие пользователя на выбранных страницах веб-сайта и генерирует оценку вероятности того, что пользователь является ботом или нет.

В 2020 году Google запустил reCAPTCHA Enterprise, которая оценивает потенциальные случаи мошенничества на всех веб-сайтах, а не ограничивается определенными страницами. По словам Потти, ReCAPTCHA Enterprise помогла технологии reCAPTCHA превратиться из инструмента для борьбы с ботами в платформу для борьбы с мошенничеством корпоративного уровня.

В то время как reCAPTCHA с изображениями может обнаруживать обычных ботов, опытные злоумышленники разработали способы обхода системы. Потти сказал, что Google постоянно ищет новые сигналы, помогающие защитить сайты, и проводит оценку с помощью известных ботов и сервисов решения CAPTCHA.

«Мы активно работаем над созданием технологий, которые сложны для мошенников и просты для законных пользователей, и настоятельно рекомендуем организациям внедрять новейшие версии reCAPTCHA», — говорится в заявлении Потти.

Кариелли сказал, что технология reCAPTCHA включает в себя дополнительные аспекты обнаружения и защиты, что делает его программное обеспечение CAPTCHA более надежным. Этот многоуровневый подход позволяет службе быть надежным источником предотвращения ботов.

«В некотором смысле CAPTCHA развиваются, потому что они не используются сами по себе, — сказал Кариелли. «Они используются как часть более широкой защиты управления ботами, и в этом заключается эволюция».

посмотреть сейчас

Некоторые системы управления ботами, часто используемые в сочетании с CAPTCHA, могут включать в себя блокировку, задержку и приманки, сказал Кариелли. Благодаря reCAPTCHA Enterprise традиционный процесс reCAPTCHA, модернизированный до комплексной платформы безопасности для борьбы с мошенничеством, помогает Google утвердиться в сфере управления ботами, но, по словам Кариелли, «ей потребуется активно инвестировать, чтобы достичь уровня других поставщиков средств управления ботами».

HCaptcha позиционируется как самая популярная альтернатива Google reCAPTCHA, которая по состоянию на январь работает в 15% Интернета. Доступны три версии hCaptcha — Publisher, Pro и Enterprise — и сервис включает дополнительные уровни защиты конфиденциальности, не сохраняя личную информацию о пользователях. Компания утверждает, что такие методы верификации, как CAPTCHA, будут продолжать существовать «пока люди остаются людьми».

Хотя hCaptcha является сильным поставщиком CAPTCHA с точки зрения конфиденциальности, он поставляется с меньшим количеством ответов безопасности для усиления своей защиты и требует от клиента развертывания дополнительных ответов, согласно исследованию Carielli. Но hCaptcha говорит, что по мере развития атак ботов hCaptcha поддерживает точность обнаружения более 99%; и 99% людей проходят визуальные испытания hCaptcha с первой или второй попытки. Компания заявляет, что использует доказательство работы, а также прямое обнаружение и аттестацию оборудования среди других дополнительных мер безопасности, включая дополнительные возможности для корпоративных клиентов.

«Боты вечно догоняют нас: когда они улучшаются, наши вопросы меняются», — заявил представитель hCaptcha для CNBC. Он добавил: «Хотя hCaptcha уже много лет включает в себя как прямое обнаружение ботов, так и проверку работоспособности, ни один из этих подходов сам по себе недостаточен для борьбы с более изощренными или крупномасштабными атаками».

«Сложно для CAPTCHA»

Даже когда они обнаруживают подозрительную активность, Хассан сказал, что CAPTCHA ухудшает пользовательский опыт, что может иметь гораздо более значительные последствия для бизнеса в таких областях, как конверсия, удобство использования или принятие продукта.

Данные опроса Forrester Research показывают, что независимо от того, что потребители испытывают разочарование в отношении кибербезопасности электронной коммерции, общее отношение к CAPTCHA разделяется пополам: почти равный процент взрослых в США сообщил, что чувствует себя в большей безопасности, когда их просят пройти CAPTCHA, или разочарованы их.

Forrester Research

Одним из способов свести к минимуму человеческое разочарование, которое иногда приходит с CAPTCHA, может быть предоставление их только тогда, когда пользователь впервые создает учетную запись или профиль на веб-сайте, а не каждый раз, когда совершается транзакция, согласно Prateek Mittal. , исполняющий обязанности директора Центра инновационно-технологической политики Принстонского университета. Это сведет к минимуму количество случаев, когда потребители будут сталкиваться с CAPTCHA, но эта идея не совсем жизнеспособна, поскольку потенциально уменьшит количество контрольных точек кибербезопасности.

Машинное обучение не идеально и будет совершать ошибки, сказал Миттал в недавнем интервью CNBC, поэтому также важно включать людей в цикл при создании систем кибербезопасности для восстановления после любых ошибок.

«Системе CAPTCHA будет сложно идти в ногу с огромными технологическими инновациями, — сказал Миттал. «Я думаю, будет справедливо сказать, что мы, вероятно, увидим разные типы систем безопасности».

Исправление: hCaptcha имеет меры безопасности для усиления своей защиты, не требуя от клиента развертывания дополнительных ответов. В более ранней версии этой статьи этот протокол безопасности указан неверно.

Сервер Captcha Bot Discord Bot — Приглашение, голосование и статус

0 отзывов | 352 000 серверов

Пригласить бота Upvote

Редактировать данные

Команды

Префикс по умолчанию: !

Команда Описание
!проверить
!помощь
!статистика
...

Просмотреть все команды

Внешние ссылки

Сервер поддержки Посетите домашнюю страницу

Изменить данные Пригласить бота Upvote

Предварительный просмотр приветственного сообщения

К сожалению, у нас пока нет превью приветственного сообщения для Server Captcha Bot. Не стесняйтесь помогать нам поддерживать содержание в актуальном состоянии.

Статус бота

Сервер Captcha Текущий статус бота в сети

Последняя проверка (2023-03-07 05:50:03 UTC)

Бот был в автономном режиме (2023-03-06 18:45:03 UTC).

Статистика использования

Похожие боты

UB3R-B0T

БотБой

Дельта приборной панели

BlueBot

blargbot

Последние статьи

Дэнни, создатель Discord.py …

В очень подробном и эмоциональном письме Дэнни, создатель discord.py … читать дальше

Закрытие Groovy Бот

YouTube, дочерняя компания Google, жестко обрушивается на музыку Discord … читать дальше

Рекомендуемые боты Discord для добавления

Вы хотите упростить свои операции на серверах Discord, используя некоторые из .

Об авторе

alexxlab administrator

Оставить ответ

© 2019 ICQ Information Center