Podczas dyskusji panelowej na konferencji „RSA Conference 2021” poświęconemu atakom i oszustwom internetowym naukowcy omówili wnioski z badań, które sprawdzały taktyki i ataki cyberprzestępców na duże organizacje. Jeden z prowadzących, były funkcjonariusz organów ścigania Dan Woods, opowiedział o swoim doświadczeniu — wziął udział w szkoleniu jako pracownik farmy CAPTCHA. Pracy było sporo, a zapłata skromna (ok. 3 dolary za dzień). Najważniejszy wniosek: mechanizm CAPTCHA nie nadaje się już do swoich celów.
Ogólnie, jeśli interfejs jest tworzony dla człowieka, nie ma potrzeby, aby dostęp do niego miał bot. Programy komunikują się ze sobą poprzez interfejsy programistyczne, a nie interfejsy użytkownika; bot próbujący uzyskać dostęp do internetowego zasobu lub usługi za pośrednictwem interfejsu użytkownika jest niemal na pewno elementem oszustwa.
Przez wiele lat CAPTCHA, czyli mechanizm odróżniania użytkowników od komputerów, prowadził samotną wojnę z nielegalnymi botami. Wiele usług, w tym systemy bankowości internetowej i programy lojalnościowe, nadal go używa. Ale czy możemy mu jeszcze ufać?
Co to jest farma kliknięć?
Pojęcie „farma kliknięć” odnosi się do ludzkiego elementu w oszustwie polegającym na klikaniu: wiele osób klika reklamy, które za to płacą, poprawiając wynik w rankingach wyszukiwania stron internetowych, zwiększając liczbę polubień, wyświetleń, głosów i innych danych. Zwykle do klikania używane były boty, ale pojawienie się algorytmów zabezpieczających zmusiło oszustów do tego, aby zaczęli angażować prawdziwych ludzi.
Niektóre farmy kliknięć, jak ta, która zatrudniła Woodsa, specjalizują się w usługach związanych z mechanizmem CAPTCHA, przejmując kontrolę nad botami, które mają problem z przejściem weryfikacji.
Praca osoby zatrudnionej na farmie CAPTCHA polega na wykonywaniu zadań, które są bardzo proste dla człowieka, ale niewiarygodnie skomplikowane dla komputera. Mogą oni wskazywać obrazy, na którym widoczny jest hydrant, odszyfrowywać zniekształconą sekwencję liter, rozwiązywać bardzo proste równanie arytmetyczne i wykonywać wiele innych, podobnych zadań.
Większość użytkowników internetu z pewnością spotkała jakiś wariant tego obrazu w internecie:
Cóż, to nie tylko żart.
Czy potrzebujemy mechanizmu CAPTCHA?
Użytkownicy internetu nigdy szczególnie nie darzyli sympatią mechanizmu CAPTCHA. O pomyłkę nietrudno: wystarczy przypadkowe kliknięcie niewłaściwego obrazu, przeoczenie hydrantu widocznego na drugim planie czy pominięcie znaku w mieszaninie liter i cyfr. Nawet jeśli wszystko pójdzie zgodnie z planem, sam proces przejścia tego typu weryfikacji nie jest korzystny dla użytkownika, gdyż zatrzymuje go na chwilę i czasami irytuje.
Ponadto farmy CAPTCHA nie są jedynymi narzędziami, jakie stosują oszuści zainteresowani tym mechanizmem. Niektórzy na przykład nadal próbują stworzyć sztuczną inteligencję zdolną do rozwiązywania takich zagadek. Ze swoimi niedociągnięciami mechanizmy CAPTCHA stanowią jeszcze jedną warstwę ochrony, i dlatego korzystanie z nich wydaje się rozsądne. Ale nic nie jest takie proste.
Alternatywy dla CAPTCHA
CAPTCHA nie stanowi już niezawodnej ochrony przed intruzami, a w dodatku denerwuje prawdziwych użytkowników. A zatem nadszedł chyba czas, aby porzucić ten przestarzały mechanizm.
Na szczęście nie jest to jedyny zautomatyzowany sposób na ustalenie, czy dostęp do systemu próbuje uzyskać człowiek, czy maszyna. Lepszym rozwiązaniem jest skorzystanie z rozwiązani Advanced Authentication, które stanowi część Kaspersky Fraud Prevention i eliminuje niepotrzebne kroki uwierzytelniania, a przy tym nie wpływa na wrażenia użytkownika z korzystania.
Dzięki technologiom uczenia maszynowego rozwiązanie Advanced Authentication wykorzystuje obszerną analizę zachowań użytkowników, pasywne wskaźniki biometryczne, dane o urządzeniu, z którego ktoś próbuje się uwierzytelnić, środowisko danej osoby itp., aby podjąć szybką i trafną decyzję, czy zezwolić użytkownikowi na zalogowanie się, przeprowadzić dodatkową weryfikację, a może ograniczyć dostęp. Technologia ta dokładnie określa, czy dostęp do usługi uzyskuje osoba, czy komputer.
Więcej informacji na temat rozwiązania można znaleźć tutaj.