Как пройти капчу: Как обойти капчу Гугл / Хабр

Как пройти капчу: Как обойти капчу Гугл / Хабр

«Я не робот!»: капча становится сложнее год от года, злит живых людей, и от неё все хотят избавиться

Интернет

Игорь Николаев 04 августа 2021

Разработчики самой ненавистной системы защиты в интернете делают её настолько запутанной, что капчу уже не могут распознать ни боты, ни живые люди.

Иллюстрация Софьи Гражевич

Введение капчи — самый распространённый в интернете метод борьбы против спам-ботов. Пользователь ресурса должен вписать визуально искажённое слово (выдается алгоритмом случайно) в специальное поле или выбрать изображения какого-либо предмета из ряда картинок, чтобы доказать, что он — не робот, а живой человек. Считается, что этот механизм уже более 20 лет противостоит мошенникам.

Хакеры и создатели капч годами играют в «кошки-мышки». Хакеры взламывают простые капчи, после чего разработчики делают их сложнее. При этом они стараются сохранить изначальный принцип «любой человек вне зависимости от возраста, образования, языка должен иметь возможность пройти капчу», но специалисты по кибербезопасности заявляют, что всё зашло слишком далеко и капчи пора отменять — роботы взламывают любые новые версии, а вот для живых людей формы стали слишком сложными.

В середине 1990-х интернет-сервис Altavista стал самой популярной в мире поисковой системой. Он был одним из первых ресурсов для поиска информации в интернете. Вместе с обычными пользователями сервисом полюбили и злоумышленники, размещавшие при помощи ботов вредоносные ссылки через Altavista. Специалисты долго бились над решением проблемы, но решение пришло только в сентябре 2000 года.

Команда инженеров из американского университета Карнеги-Меллона под руководством Луиса фон Ана (позже прославившегося, как создатель платформы для изучения языков Duolingo) искала способ, как при регистрации новых аккаунтов на сайтах отфильтровать аккаунты, создаваемые спам-ботами и автоматическими программами. Так появилась CAPTCHA, что расшифровывается как Completely Automatic Public Turing Test to tell Computers Humans Apart (полностью автоматизированный публичный тест Тьюринга, призванный различить компьютер и человека).

Алан Тьюринг Фото Getty Imagrs

Система названа в честь британского математика середины 20 века Алана Тьюринга, отца-основателя искусственного интеллекта. В русский язык пришло лишь фонетическое название термина — капча, и оно никак не расшифровывается.

Концепция капчи Алана Тьюринга сама по себе гениальна; но по мере того, как возможности роботов становятся всё более изощренными, системы капчи становятся всё более сложными, что приводит к очень инвазивному [не органичному, не комфортному] взаимодействию с пользователем.

Мэтт Блисс

Капча представляла собой картинку со специальным визуально искажённым текстом, который не могли распознать программные алгоритмы того времени, но легко мог прочитать живой человек. Слово нужно было ввести в специальное поле, и только тогда пользователь мог продолжить работу с сайтом, подтвердив, что он — не робот. Способ оказался столь простым и эффективным, что вскоре распространился по всему миру.

Первыми капчу стали использовать в Yahoo (которая вскоре приобрела и Altavista), чтобы не дать роботам создавать бесплатные учётные записи электронной почты, с которых потом рассылался бы спам. Позже систему стали внедрять и другие ресурсы.

Спамеры быстро придумали, как обойти капчу — они стали платить живым людям за её ввод. Такой вид заработка стал особенно популярным в бедных странах. Но даже это не повлияло на популярность капчи. Более того, её создатели однажды подумали, что простой перевод изображения в текст хотя и позволяет отсеивать спам-ботов, но не приносит никакой практической пользы.

В 2008 году фон Ан оптимизировал капчу, создав новое приложение reCAPTCHA. Как и ранее, здесь так же нужно было вводить текст с картинки в специальное поле, но на сей раз это уже были не случайные буквы, а слова из настоящих архивных документов. К тому времени компьютерные программы уже могли точно распознавать печатный текст, но в старых бумагах чернила часто расплывались и выцветали, мешая компьютеру определить какое-либо слово. Живой человек легко справлялся с этой задачей.

Приложение изначально распознавало слова из архивных номеров газеты The New York Times. В 2009 году сервис выкупил Google, и пользователи стали вводить в поле слова из реальных старых книг, помогая их оцифровывать.

Изображение капчи в reCAPTCHA

Проверка стала включать в себя два внешне искажённых слова. Одно из них уже было распознано, и именно от него зависел результат проверки. Второе же брали с отсканированной страницы книги, не обработанной системой распознавания текста. Компьютер изначально не знал, как правильно расшифровывается второе слово, и показывал его нескольким тысячам пользователей. Затем система отслеживала, как пользователи чаще всего расшифровывают слово, и определяла этот вариант как верный. Для проверки можно было ввести лишь одно, тестовое слово, а не оба — но об этом нигде не упоминалось.

Похожие эксперименты проводили и по распознаванию изображений из Google Street View и Google Maps. Вскоре оказалось, что роботы могут взломать даже сложнейшие изображения, и потому сотрудникам Google пришлось искать новые выходы.

Как и в случае с оригинальной капчей, спамеры вновь начали предлагать живым людям заработать на вводе рекапчи. Не остался в стороне и искусственный интеллект. В апреле 2014 года Google сообщил, что, по его исследованиям, новые спам-роботы уже успешно распознают капчу с точностью до 99,8%, что говорит о бессмысленности её дальнейшего использования.

В декабре 2014 года Google оптимизировал капчу, запустив новую систему NO CAPTCHA reCAPTCHA. Её суть в том, что контакты пользователя и системы сведены до минимума. Даже сверхсовременные спам-боты всё же не могут полностью копировать поведение живого человека на сайте, а механизмы Google умеют отличать людей от роботов.

Как только посетитель зашёл на сайт, тут же запускается скрипт, сканирующий его поведение, и стало необязательным использовать трудночитаемые куски старых текстов. По сути, пребывание пользователя на сайте — это и есть тест на спамера.

Настоящий человек не очень хорошо контролирует свои двигательные функции, поэтому он не может двигать мышью одним и тем же способом более одного раза при нескольких взаимодействиях, даже если он очень сильно старается.

Бот же будет взаимодействовать со страницей, не перемещая мышь.

Шуман Гхосемаджумдер

Если у системы возникают подозрения в том, что пользователь — бот, то ему предлагают нажать на кнопку «Я не робот». Иногда у системы и после этого остаются сомнения, и тогда пользователю предлагают дополнительные проверки — например, выбрать из нескольких картинок все, на которых изображены светофоры или пожарные гидранты.

Разработчики NO CAPTCHA reCAPTCHA не распространяются насчёт особенностей работы механизма, чтобы этими знаниями не воспользовались взломщики. Система постоянно дорабатывается, в мае 2018 года на конференции Google I/O 2018 представили последнюю на сегодняшний день её версию — reCAPTCHA 3.

NO CAPTCHA reCAPTCHA

IT-специалист Григорий Бакунов считает, что современная reCAPTCHA, как и другие системы, в первую очередь защищает сайты от ботов с помощью аналитики, а не картинок. Сейчас при нажатии на кнопку «пройти капчу» пользователя часто пропускает без необходимости «прокликивания» изображений.

Это потому, что когда-то раньше он уже делал это упражнение, браузер и «куки» не поменялись, и судя по поведению курсора, он ведёт себя как настоящий, «мясной» пользователь — нет смысла мучать его всякой ерундой.

Не только Google работает над тем, как улучшить систему капчи. Специалисты пакистанского Института информационных технологий КОМСАТС хотели предложить пользователям классифицировать фото человеческих лиц по их выражению, полу или расе.

Были также предложения делать капчу на основе детских стишков, популярных в той стране, где вырос пользователь — планировалось, что это защитит ресурс не только от ботов, но и от живых людей из других стран, вводящих капчу за деньги.

В поиске лучшего варианта капчи предлагалось найти изображения свиней, изображённых в карикатурной форме с солнечными очками. В 2010 году специалисты предлагали использовать на капчах древние наскальные рисунки, так как компьютеры в то время ещё не умели их распознавать. Проблема всех этих альтернатив — они сложны не только для ботов, но и для обычных людей.

Дело не только в наших физических возможностях, нам нужно что-то межкультурное, межязыковое. Нам нужно то, что подходит для кого-то из Греции, кого-то из Чикаго, кого-то из Южной Африки, Ирана и Австралии одновременно. И оно должно быть независимым от культурных сложностей и различий. Нам нужно что-то, что легко для обычного человека, это не должно быть привязано к определенной подгруппе людей, и в то же время это должно быть сложно для компьютеров. Это очень ограничивает то, что вы на самом деле можете сделать. И это должно быть что-то, что человек может делать быстро и без раздражения.

Джейсон Полакис

В мае 2021 года специалисты из компании Cloudflare, специализирующейся на работе с DNS, предложили вовсе отказаться от капчи, используя вместо неё USB-ключи безопасности. Они уже разработали такой механизм защиты и предлагают протестировать его у себя на сайте.

В Яндексе также занимаются вопросами упрощения капчи. За последний год они сильно упростили картинки и сделали режим, где не нужно выполнять никаких заданий.

В разговоре с TJ руководитель сервиса Капчи в «Яндексе» Алексей Тощаков рассказал, что капча — это один из инструментов защиты сервисов и он помогает остановить существенный поток роботов. А комфорт людей можно увеличивать, если развивать алгоритмы, которые принимают решение о показе капчи. Например, в этом году «Яндекс» внедрил улучшение, которое позволило показывать капчу в десять раз реже в очень непростом срезе — режим инкогнито.

Специалисты заявляют, что благодаря капче спама в интернете с каждым годом становится всё меньше. Однако и спамеры постоянно совершенствуют свои навыки.

В 2018 году специалисты из Ланкастерского университета, Северо-Западного университета и Пекинского университета применили концепцию генеративно-состязательной сети, чтобы создать механизм для быстрого и точного ввода капчи.

Есть множество онлайн-сервисов и библиотек для решения капчи, как-то GRIS, Clarifai, Alchemy или NeuralTalk. Они используют технологии на базе глубокого обучения и, по мнению, специалистов, весьма эффективны.

Пример эффективного сервиса решения капчи, доступного через API — DeCaptcher. Работая на базе системы оптического распознавания символов, сервис решает капчу и предоставляет пользователю файл для загрузки, где указано время, изображение капчи и текст, применённый для её решения. Популярны и инструменты с открытым исходным кодом, как-то UnCaptcha и Buster. Они решают звуковые капчи, предназначенные для пользователей с проблемами со зрением.

Обычно системы искусственного интеллекта способны справляться лучше, чем люди, потому что, например, они не страдают от раздражения. Они бесконечно терпеливы, им плевать на трату времени.

Мауро Мильярди

До сих популярны сервисы, где капчу за деньги вводят живые люди. Такие ресурсы экономически выгодны для спамеров. Самые популярные из них — 2captcha и anti-captcha — предлагают решить 1000 капч всего за 50 центов. По статистике на сайте anti-captcha, больше всего работников по вводу капчи за деньги живёт в Венесуэле, Индонезии, Вьетнаме и Индии.

По словам Григория Бакунова, для борьбы с капчей чаще всего используются «фермы», т.е. собранные вместе группы людей, которые «проходят» капчу вместо ботов, выполняя эту рутинную операцию тысячи и десятки тысяч раз в день. Чаще всего это пользователи из Пакистана, Филиппин, Индии — стран, где русский язык слабо распространён. Поэтому всё чаще в рунете встречается капча с русскими буквами — их ввод осложнён, поэтому фермы, умеющие в русский язык, существенно невыгоднее для спамеров.

Из-за этого разработчики капчи вынуждены постоянно усложнять своё детище. Хакеры быстро учатся обходить любой новый элемент защиты, делая его неактуальным и бесполезным. Специалисты вынуждены исправлять проблему, делая капчу ещё более запутанной. Но вскоре спамеры вновь находят способ взломать механизм, и всё повторяется снова.

Капча в виде шахмат, где пользователю нужно сделать ход, чтобы доказать , что он не робот

Мем, посвящённый сложности капчи

По мере усложнения капчи появилась ещё одна проблема — сложная система защиты стала злить обычных «живых» пользователей и мешать им. Люди часто негативно относятся к сайтам, использующим капчу, и порой игнорируют их.

Если капча сделана плохо, он может быть провалена несколько раз. Например, если есть требование «выбрать все изображения с пожарным гидрантом», и всё это один большой пожарный гидрант с кончиком части на несколько пикселей на одном изображении, следует ли нажимать на него или нет? Это может сильно расстраивать пользователей, что влияет на их вовлеченность и конверсию.

Ричард Кан

Капча не подходит для слепоглухих людей. В силу физической ограниченности они не могут разгадать ни визуальную, ни звуковую капчу. Обычные же люди хуже воспринимают звуковую капчу, так как на её прослушивание уходит больше времени.

Создание удобной для пользователя капчи — не всегда простая задача, и обычно приходится искать компромисс между безопасностью и удобством использования.

Не все схемы капчи имеют одинаковый уровень удобства использования. Для некоторых из них требуется выполнение простой задачи, такой как установка флажка или наклон устройства, для других — менее удобные для пользователя способы, такие как решение сложной когнитивной задачи, перетаскивание картинок, решение загадок. Всё это вызывает недовольство рядовых пользователей.

Образец капчи при создании аккаунта на GitHub

Образец капчи при создании аккаунта на GitHub

Образец капчи при создании аккаунта на GitHub

Проблема стала ещё более актуальной с начала пандемии COVID-19. CAPTCHA используется на многих важных веб-сайтах, таких как сервисные службы. На самоизоляции людям требуется виртуальный доступ к большему количеству услуг, и «бесячая» CAPTCHA мешает людям получить доступ к основным услугам.

Специалисты по кибербезопасности ставят эффективность усложнения капчи под вопрос. Во-первых, разгадывание сложной капчи отнимает всё больше времени у пользователей. Во-вторых, роботы и спамеры всё равно обходят все уровни защиты.

Но несмотря на это, капча остаётся оптимальным вариантом защиты от спамеров, а отказ от неё чреват серьёзными последствиями. В августе 2010 года американская сеть розничных магазинов Kmart остановила лотерею по розыгрышу призов, когда хакеры начали выигрывать все подарки. Это оказалось возможным потому, что Kmart не использовал капчу.

Алексей Тощаков сообщил TJ, что в «Яндексе» для людей капчу не станут усложнять, скорее будут делать её более дружелюбной. А вот для роботов важно сохранить уровень сложности, но это непростая задача. За последний год команда Алексея протестировала ряд гипотез — как можно реже показывать людям капчу и сделать её более приятной.

Например, в прошлом году на День учителя «Яндекс» показывал капчу, где нужно было ввести слово, которое часто пишут неправильно, и выделял букву, в которой люди ошибаются. А под конец года они сделали капчу, где было что-то подбадривающее — например, «Сегодня всё получится». Роботу всё равно, а человеку приятно.

Статья создана участником Лиги авторов. О том, как она работает и как туда вступить, рассказано в этом материале.

#интернет #капча #лонгриды #лигаавторов

Как пройти капчу скайпа?

Ошибки › Что делать если при регистрации в стиме пишет ошибка в поле captcha com?

Смысл капчи Skype заключается в том, что пользователь должен крутить круг со стрелками до того момента, пока именно две стрелки не будут указывать на кнопку «Готово» («Done»). И это нужно проделать не раз и не два, а целых десять!

1. Как пройти капчу в скайпе?
2. Как правильно проходить капчу?
3. Что такое введите капчу?
4. Как сделать чтобы не появлялась капча?
5. Как хорошо выглядеть в Скайпе?
6. Почему капча не проходит проверку?
7. Сколько платят за одну капчу?
8. Как избавиться от проверки я не робот?
9. Как подтвердить что Вы не робот?
10. Как включить капчу?
11. Когда появляется капча?
12. Чем можно заменить капчу?
13. Почему появляется капча?
14. Что такое невидимая капча?
15. Как обойти капчу в Вордстате?
16. Как сделать чтобы меня нашли в Скайпе?
17. Как присоединиться к уроку в Скайпе?
18. Как скинуть себя в Скайпе?
19. Какие бывают виды капчи?
20. Как расшифровать капчу?
21. Кто делает капчи?
22. Зачем нужен я не робот?
23. Как обновить капчу?
24. Как подключить капчу к форме?
25. Как пройти регистрацию в Скайпе?

Как пройти капчу в скайпе?

Решение капчи заключается в необходимости крутить круг со стрелками до того момента, пока обе стрелки не будут указывать на кнопку «Готово» («Done»). И эту операцию нужно проделать десять раз.

Как правильно проходить капчу?

Общий алгоритм работы будет выглядеть так:

• зашли на сайт с капчей, нажали «Я не робот»;
• сделали скрин капчи с экрана, если она совпадает с определенными категориями объектов;
• разрезали капчу на части;
• скормили каждый кусок капчи нейросети;
• понажимали на картинки, где объект распознан нейросетью;

Что такое введите капчу?

Проверочный код CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart — Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) — это одна из разновидностей мер безопасности, известная как аутентификация «вызов-ответ».

Как сделать чтобы не появлялась капча?

Как убрать капчу?:

• Проверка (captcha) появляется при третьей повторной отправке с одного IP-адреса за короткий период времени.
• Убрать капчу, к сожалению, нельзя, потому что в таком случае в форму будет попадать много спама.

Как хорошо выглядеть в Скайпе?

Как лучше выглядеть в Скайпе и Зуме: 5 простых советов:

• Совет 1: Используйте однородный фон
• Совет 2: Используйте правильное освещение
• Совет 3: Выберите подходящую одежду
• Совет 4: Используйте внешнюю камеру вместо камеры ноутбука или смартфона
• Совет 5: Создайте простенькую «видеостудию».

Почему капча не проходит проверку?

Неправильная работа капчи Есть решение

Какой бы код не вводил в это поле (верный код и не верный), капча не проходит проверку. В таком случае (если не заполнять поле капча), она проходит проверку.

Сколько платят за одну капчу?

Ваш заработок на вводе капчи (антикапче) ограничен лишь временем — в среднем за час начинающий наборщик разгадывает до 300 капч, более опытный — до 500 и больше. За рабочий день можно заработать до 2-3 долларов, а за месяц — до 100 долларов.

Как избавиться от проверки я не робот?

В самой новой версии reCAPTCHA человеку вообще не нужно напрягаться, достаточно поставить галочку напротив отметки «Я не робот» — алгоритм анализирует движения курсора (бот пойдет по прямому кратчайшему пути) и IP-адрес.

Как подтвердить что Вы не робот?

Чтоб подключить данную возможность, необходимо в блоке «Форма» добавить поле пользователя «CAPTCHA». Добавленное поле будет отображаться на опубликованной странице как дополнительное поле для подтверждения «Я не робот». Без подтверждения форму не получится отправить.

Как включить капчу?

Перейдите на сайт Google reCAPTCHA и щелкните по кнопке «Admin console». Авторизуйтесь в своем аккаунте Google или зарегистрируйте новый. Заполните форму регистрации сайта и сохраните введенные данные кнопкой «Отправить».

Когда появляется капча?

Капча генерируется автоматически — так, чтобы пройти тест не смог бот, но смог человек. Название — аббревиатура от английского предложения Completely Automated Public Turing Test To Tell Computers and Humans Apart.

Чем можно заменить капчу?

Другие капчи:

• MTCaptcha. «Умный и красивый способ остановить ботов» — заявляют разработчики.
• Capy. Если хочется чего-нибудь более интересного, подойдёт Capy.
• Своя капча
• Really Simple CAPTCHA.
• Hidden CAPTCHA.
• OSOLCaptcha.
• Solve Media.
• Honeypot-ловушки

Почему появляется капча?

CAPTCHA — автоматизированный тест Тьюринга для различения человека от машины. Первоначально сделан с целью закрыть часть сайта от ботов. Например отсечь автоматическую регистрацию на форуме ботами или спам в форму обратной связи. Впоследствии стал использоваться для защиты сайтов от высокой нагрузки.

Что такое невидимая капча?

Невидимая капча — это способ подключения виджета SmartCaptcha, при котором кнопка Я не робот отсутствует на странице. Окно с заданием увидят только те пользователи, запросы которых сервис SmartCaptcha посчитает подозрительными.

Как отключить капчу в Яндекс Вордстат:

• Закройте все параллельные окна с Вордстатом (работайте в одном).
• Откройте сайт Wordstat в другом браузере.
• Авторизуйтесь под другим логином Яндекса (можно создать новый).
• Временно отключите расширение AdBlock в браузере.
• Подключитесь через ip других стран, например США.

Как сделать чтобы меня нашли в Скайпе?

Если мы хотим чтобы люди нашли нас и добавили в списке контактов, мы должны сообщить им свой логин в Скайпе (его можно продиктовать по телефону, написать на веб-страницах, отправить СМСкой или по емайлу).

Как присоединиться к уроку в Скайпе?

Если у вас установлен Skype, вы также можете присоединиться к собранию или беседе, просто скопировав код ссылки или собрания и вставив его в Skype:

• Скопируйте ссылку или код.
• Нажмите кнопку начать собрание.
• Нажмите присоединиться к собранию.
• Вставьте ссылку или код в поле ссылка на собрание или код.

Как скинуть себя в Скайпе?

Подключение, поделившись ссылкой на свой профиль, даже если они не находятся в Skype:

• Щелкните свой аватар.
• Выберите Профиль Скайпа.
• Выберите Поделиться профилем.
• В окне «Поделиться и подключиться » вы можете:
• Как только приглашение будет принято, вы сможете наслаждаться общением с вашим новым контактом.

Какие бывают виды капчи?

Распространённые типы капчи:

• Распознавание текста. Традиционный тип капчи, который требует от пользователя ввести ряд цифр и букв.
• Выбор изображений.
• Логическая задача.
• Трёхмерная капча.
• Маркетинговая капча.
• Капча «Я не робот».
• Звуковая капча.
• Капча драг-н-дроп.

Как расшифровать капчу?

Ка́пча (от CAPTCHA — англ. Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) — компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером.

Кто делает капчи?

ReCAPTCHA
Тип	Краудсорсинг
Автор	Luis von Ahn Ben Maurer Colin McMillen Harshad Bhujbal Manuel Blum
Разработчик	Google
Первый выпуск	27 мая 2007

Зачем нужен я не робот?

После нажатия флажка «Я не робот», CAPTCHA предлагает вашему браузеру отправить в Google невидимое изображение, которое содержит бессмысленный шрифт по результату вашей «истории» (соответственно, в Google — шрифт должен преобразиться в системный и стать понятным).

Как обновить капчу?

Ничего сложного в этом нет. Для начала необходимо в шаблоне компонента, где используется CAPTCHA, добавить ссылку обновления и прописать ей id=«refresh_captcha», для картинки капчи прописать id=«captcha_img», для скрытого инпута с сидом капчи id=«captcha_sid».

Как подключить капчу к форме?

Итак, сначала нужно добавить сайт в ReCaptcha API перейдя по ссылке https://www. google.com/recaptcha/admin/create (нужна авторизация), в форме нужно указать название и домен сайта где будет использоваться капча. После отправки формы появится страница с данными для интеграции.

Как пройти регистрацию в Скайпе?

Если у вас нет учетной записи Майкрософт для Скайп: В окно входа Скайп выберите Создать новую учетную запись (или непосредственно перейдите к разделу «Создать» учетная запись). Мы рассмотрим процесс создания новой учетной записи для Скайп.

SAPTCHA Boundspass — Hacktricks

🎙 Hacktricks Live Twitch Среда 17:30 (UTC) 🎙 — 🎥 YouTube 🎥

• Вы работаете в компании Cybersecurity Company ? Вы хотите, чтобы ваша компания рекламировалась в HackTricks ? или вы хотите получить доступ к последней версии PEASS или загрузить HackTricks в формате PDF ? Проверьте ПЛАНЫ ПОДПИСКИ !

• Откройте для себя The Peass Family , наша коллекция эксклюзивных NFTS

• Получить Официальные Peass & Hacktricks SWAG

• Присоединяйтесь к 💬 Discord Group или The Group 7 Discord или The Discord Group или Discord Group 4 или The Discord или The Discord Group 54 или The Discord или The Discord Group 4 или The Discord 4 или Thol. Подпишитесь на меня в Twitter 🐦 @carlospolopm .

• Поделитесь своими хакерскими трюками, отправив PR в репозиторий хакерских трюков и облачный репозиторий hacktricks .

Чтобы автоматизировать тестирование некоторых функций сервера, которые позволяют пользователю вводить его может быть необходимо для обойти капчу реализацию. Поэтому попробуйте проверить на эти вещи:

• Не отправлять параметр , связанный с капчей.

  • Переход с POST на GET или другие команды HTTP

  • Изменить на JSON или из JSON

• Отправить параметр captcha пустой .

• Проверить, является ли значение капчи в исходном коде страницы.

• Проверить, является ли значение внутри файла cookie.

• Попробуйте использовать старое значение капчи

• Проверьте, можете ли вы использовать одно и то же значение капчи несколько раз с тот же или другой идентификатор сеанса.

• Если капча состоит из математической операции , попробуйте автоматизировать вычисление .

• Если капча состоит из символов, прочитайте изображение , проверьте вручную или с помощью кода , сколько изображений используется, и если используется только несколько изображений, определите их с помощью MD5.

• Используйте OCR (https://github. com/tesseract-ocr/tesseract).

🎙 Hucktricks Live Twitch Среда 17:30 (UTC) 🎙 — 🎥 YouTube 🎥

• Вы работаете в -м. Вы хотите, чтобы ваша компания рекламировалась в HackTricks ? или вы хотите иметь доступ к последней версии PEASS или загрузить HackTricks в формате PDF ? Проверьте ПЛАНЫ ПОДПИСКИ !

• Откройте для себя Семья PEASS , Наша коллекция эксклюзивных NFTS

• Получить Официальные Peass & Hacktricks SWAG

• Присоединяйтесь к 💬 Group или . на Twitter 🐦 ​ @carlospolopm .

• Поделитесь своими хакерскими трюками, отправив PR в репозиторий хакерских трюков и hacktricks-cloud repo .

CAPTCHA и reCAPTCHA: как их обходят мошенники

Если вы проводили какое-то время в Интернете в последние годы, вам приходилось ставить галочку, чтобы сообщить миру: «Я не робот». Эта маленькая коробочка неизменно сопровождалась небольшим визуальным или звуковым тестом, называемым CAPTCHA.

Вы должны пройти тест CAPTCHA, чтобы доказать, что вы «не робот», прежде чем вы сможете получить доступ к какой-либо части веб-сайта. Обычно это происходит в тот момент, когда вам нужно заполнить форму, чтобы зарегистрироваться, оформить подписку или совершить покупку на веб-сайте или в приложении.

Для многих пользователей это было раздражающей и отнимающей много времени необходимостью в Интернете, часто заставляя их задаваться вопросом, как избежать CAPTCHA. Однако для компаний, использующих их, инструменты CAPTCHA были надежной мерой безопасности. Это дало им уверенность в том, что люди, заходящие на их веб-сайт, являются настоящими посетителями, а не мошенниками. Но есть одна проблема, они не всегда работают.

В этой статье мы подробно рассмотрим, что такое CAPTCHA, как их легко обойти или они неэффективны по другим причинам, и что вы можете сделать вместо этого, чтобы по-настоящему защитить себя от мошенников.

Содержание:

• Что такое CAPTCHA?
• Что такое reCAPTCHA?
• Недостатки CAPTCHA
• Что вы можете сделать с обходом CAPTCHA?

Что такое CAPTCHA?

 

Когда в 90-х годах Интернет начал набирать обороты, злоупотребления служебным положением в Интернете последовали за ним. CAPTCHA были созданы в ответ на это как способ отличить настоящих пользователей от плохих ботов, просто сканирующих веб-сайты для выполнения какой-либо формы мошенничества.

Само название CAPTCHA объясняет эту цель, расшифровываясь как «Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей».

Эти ранние CAPTCHA представляли собой текст, каким-то образом измененный, чтобы боты не могли его прочитать. Хотя изначально они были очень успешными, быстрый прогресс в области вычислений означал, что боты могли читать текст.

Фактически, довольно скоро боты стали настолько хорошо обходить CAPTCHA, что к 2014 году Google обнаружил, что их программа reCAPTCHA (развитие оригинальной CAPTCHA) может быть обойдена ботами более чем в 99% случаев.

Что такое reCAPTCHA?

reCAPTCHA — это система проверки подлинности человека, разработанная в 2007 году и приобретенная Google в 2009 году. Изначально этот инструмент был разработан для помощи в оцифровке книг, которые не могли быть отсканированы компьютерами. После запуска для проверки пользователей reCAPTCHA отображала два разных искаженных слова с проходящими через них линиями (по сравнению со случайными последовательностями букв и цифр CAPTCHA).

К 2012 году проект начал включать изображения из Google Street View. К настоящему времени вы почти наверняка потратили приличное количество времени, щелкая все изображения, содержащие светофор, просто чтобы доказать, что вы не бот. И вы, вероятно, тоже провалили некоторые из этих тестов! Как отмечает Baymard Institute , «только 66% пользователей во время нашего качественного юзабилити-тестирования успешно ввели CAPTCHA с первой попытки».

Было еще несколько итераций reCAPTCHA, в том числе noCAPTCHA reCAPTCHA (где пользователям с низким уровнем риска нужно было только щелкнуть флажок с надписью «Я не робот») и reCAPTCHA v3.

О reCAPTCHA v3

В 2018 году Google представила reCAPTCHA v3, последнюю версию инструмента. Даже если вы невероятно опытный пользователь Интернета, есть большая вероятность, что вы почесываете подбородок и задаетесь вопросом, сталкивались ли вы с reCAPTCHA v3 раньше.

С reCAPTCHA v3 вам не нужно расшифровывать искаженные слова, вам не нужно щелкать ячейками, чтобы указать, что вы знаете, как выглядит автомобиль, и вам даже не нужно нажимать «Я не робот». Это связано с тем, что reCAPTCHA v3 существует в основном в фоновом режиме и совершенно невидим для обычного пользователя.

Таким образом, reCAPTCHA v3 помогает компаниям обнаруживать ботов, якобы обеспечивая лучший пользовательский опыт, но взамен это наносит ущерб конфиденциальности пользователей.

Вот как это работает : Google анализирует поведение пользователей при навигации по веб-сайту и ранжирует это поведение, чтобы определить, насколько «рискован» пользователь, т. е. насколько вероятно, что сеанс на самом деле является ботом, а не человеком. .

Хотя reCAPTCHA v3 может помочь веб-сайтам обнаруживать ботов, она подходит только для этого случая. Если вы хотите защитить свой веб-сайт от мошенничества с рекламой, вам нужно сделать больше, чем просто полагаться на эту услугу. Основываясь на данных о производительности клиентов, тщательно созданное вредоносное ПО и мошенничество с участием людей проходят reCAPTCHA v3 и имеют высокий уровень ложных срабатываний, ошибочно помечая реальных людей как мошенников.

Недостатки CAPTCHA

Какими бы полезными ни были CAPTCHA в прошлом, важно понимать, что они не лишены недостатков. Эти инструменты оставляют желать лучшего как методы предотвращения мошенничества с рекламой. Некоторые ключевые проблемы, связанные с CAPTCHA и reCAPTCHA, включают:

CAPTCHA вредит пользовательскому опыту

Представьте, что вы направляетесь на веб-сайт розничного продавца, чтобы совершить транзакцию электронной торговли. Вы только что узнали о новом продукте, и вам не терпится купить его как можно скорее. Когда вы начинаете процесс проверки, вы сталкиваетесь с CAPTCHA. Что еще хуже, вы провалите тест. Повысит ли такой опыт вероятность того, что вы совершите покупку?

Если проверка CAPTCHA сделана плохо, ее можно несколько раз провалить. Например, если есть требование «выбрать все ящики, в которых есть пожарный гидрант», а это все один большой пожарный гидрант с кончиком куска на нескольких пикселях на одном ящике, следует ли нажимать на него или нет?

Это может быть чрезвычайно неприятно для пользователей, что влияет на вовлеченность пользователей и конверсию.

CAPTCHA может тратить время клиентов

В последних новостях было показано, что CAPTCHA отнимает у пользователей дополнительное время. Например, при запуске консолей PS5 и Xbox Series X покупатели-люди столкнулись с ботами, которыми владеют и управляют спекулянты на веб-сайтах розничных продавцов.

Когда человек сталкивается с тестом CAPTCHA, ему приходится тратить драгоценные секунды на его изучение и ответ. Бот может обойти тест, действуя как шкипер CAPTCHA и переходя почти непосредственно к покупке за миллисекунды. Результат? Бот покупает десятки консолей, и к моменту завершения теста человек получает сообщение об ошибке «нет в наличии».

Убийственный коэффициент конверсии

В совокупности неудивительно, что раздражающие события и больше времени, необходимого для выполнения действий, приводят к снижению коэффициента конверсии с помощью CAPTCHA на 40%. Стоит отметить, что CAPTCHA не просто помешает вам привлечь больше потенциальных клиентов или продать больше продуктов в данный момент. Поскольку потребители, скорее всего, перестанут поддерживать бренды после неудачного опыта, они вполне могут помешать вам увеличить продажи и в будущем.

Обход CAPTCHA слишком прост с современными ботами

Если причинение вреда пользовательскому опыту недостаточно, чтобы заставить вас задуматься об отказе от CAPTCHA, вот что еще следует учитывать: благодаря развитию технологий искусственный интеллект (ИИ) стал до такой степени, что современный «робот CAPTCHA» или «инструмент блочной reCAPTCHA» могут легко обойти тест, полностью нарушив свою цель.

Поскольку CAPTCHA не предлагает никакой поддержки или аналитики, вы не можете сосредоточиться на том, откуда исходит мошенничество. Даже если ваши CAPTCHA каким-то образом помешали ботам обойти их, вам все равно придется иметь дело с вредоносным ПО и человеческим мошенничеством.

К сожалению, несмотря на попытки обогнать злонамеренных пользователей в цифровой рекламе, простой поиск в Google выдаст вам множество сайтов, подробно рассказывающих, как обойти даже самые сложные тесты.

Кроме того, эти тесты часто настолько сложны или плохо сделаны, что пользователи искренне злятся, имея дело с ними, рисуя далеко не идеальную картину CAPTCHA. В лучшем случае это приводит к кислому привкусу во рту от пользовательского опыта. В худшем случае они вообще уходят с сайта.

Даже когда дело доходит до reCAPTCHA v3, мошенники поразительно легко набирают высокий балл, используя тщательно созданный бот CAPTCHA или нанимая мошеннические фермы. Эти изощренные мошенники могут легко обходить CAPTCHA, с которыми они сталкиваются.

Перекладывая ответственность на владельца веб-сайта, вы оставляете людей, которые решают, какой трафик должен поступать на их сайты. Имея все это в виду, вероятность сопряжена с высоким риском ложных срабатываний. Наиболее часто используемые сегодня CAPTCHA не должны использоваться в качестве окончательного решения для блокировки мошеннического трафика.

Что делать с обходом CAPTCHA?

К счастью, есть способы блокировать мошеннический трафик, которые лучше выявляют вредоносных ботов, вредоносное ПО и мошенничество, не нарушая работу пользователей и не оставляя принятие решений в ваших руках.

Использование биометрии

С помощью биометрии можно проверить, являются ли пользователи настоящими людьми, а не ботами. Например, вы можете попросить людей со смартфонов подтвердить свою личность с помощью отпечатков пальцев. Есть и другие виды биометрии, которые следует учитывать, включая ввод биометрических данных, распознавание речи и распознавание лиц.

Однако в зависимости от вашего варианта использования биометрия может оказаться не лучшим вариантом. С одной стороны, такие системы имеют тенденцию быть довольно дорогими. С другой стороны, не так уж много потребителей заинтересованы в передаче своих биометрических данных компании, которая, например, продает носки.

Многофакторная проверка подлинности

Вы также можете реализовать метод многофакторной проверки подлинности (MFA), чтобы обеспечить доступ к вашим системам реальным людям. Например, вы можете попросить кого-то войти в свою учетную запись, а затем отправить ему текстовое сообщение с одноразовым кодом доступа, который им нужно ввести на вашем веб-сайте, чтобы перейти к следующему шагу.

Хотя этот метод может быть полезен в безопасных средах, таких как банковские и брокерские бухгалтерские приложения, он, скорее всего, создаст слишком много неудобств для пользователей в средней компании.

Решения для мошенничества с рекламой

Решение для мошенничества с рекламой, такое как Anura, позволяет вам остановить ботов, а также защитить вас от вредоносного ПО и человеческого мошенничества.