Serviços de quebra de CAPTCHA com solucionadores humanos ajudando cibercriminosos a derrotar a segurança
31 de Maio de 2023

Pesquisadores de segurança cibernética estão alertando sobre serviços de quebra de CAPTCHA que estão sendo oferecidos à venda para contornar sistemas projetados para distinguir usuários legítimos do tráfego de bots.

"Porque os cibercriminosos estão interessados em quebrar CAPTCHAs com precisão, vários serviços que são voltados principalmente para esse mercado foram criados", disse a Trend Micro em um relatório publicado na semana passada.

"Esses serviços de quebra de CAPTCHA não usam técnicas de reconhecimento óptico de caracteres ou métodos avançados de aprendizado de máquina; em vez disso, eles quebram CAPTCHAs terceirizando as tarefas de quebra de CAPTCHA para solucionadores humanos reais." CAPTCHA - sigla para Teste de Turing Público Completamente Automatizado para Diferenciar Computadores e Humanos - é uma ferramenta para diferenciar usuários humanos reais de usuários automatizados com o objetivo de combater spam e restringir a criação de contas falsas.

Embora os mecanismos CAPTCHA possam ser uma experiência disruptiva para o usuário, eles são vistos como um meio eficaz de combater ataques provenientes do tráfego da web originado por bots.

Os serviços ilegais de quebra de CAPTCHA funcionam canalizando solicitações enviadas pelos clientes e delegando-as aos seus solucionadores humanos, que resolvem o problema e enviam os resultados de volta para os usuários.

Além disso, todo o fluxo de trabalho é acessível aos operadores de bots, tornando possível transmitir o CAPTCHA em tempo real via chamadas API para o provedor de serviços, que envia as respostas programaticamente.

"Isso torna fácil para os clientes de serviços de quebra de CAPTCHA desenvolver ferramentas automatizadas contra serviços online na web", disse o pesquisador de segurança Joey Costoya.

"E como os seres humanos reais estão resolvendo CAPTCHAs, o objetivo de filtrar o tráfego de bots automatizados por meio desses testes se torna ineficaz." Isso não é tudo.

Observou-se que atores de ameaças compram serviços de quebra de CAPTCHA e os combinam com ofertas de proxyware para obscurecer o endereço IP de origem e evitar barreiras antibot.

O proxyware, embora comercializado como uma utilidade para compartilhar a largura de banda da Internet inutilizada de um usuário com outras partes em troca de uma "renda passiva", essencialmente transforma os dispositivos que o executam em proxies residenciais.

Em um caso de um serviço de quebra de CAPTCHA visando o popular mercado de comércio social Poshmark, as solicitações de tarefas provenientes de um bot são roteadas por uma rede de proxyware.

"CAPTCHAs são ferramentas comuns usadas para impedir spam e abuso de bots, mas o aumento do uso de serviços de quebra de CAPTCHA tornou os CAPTCHAs menos eficazes", disse Costoya.

"Embora os serviços online na web possam bloquear os IPs de origem dos abusadores, o aumento da adoção de proxyware torna esse método tão inútil quanto os CAPTCHAs." Para mitigar esses riscos, é recomendável que os serviços online na web complementem CAPTCHAs e listas de bloqueio de IPs com outras ferramentas anti-abuso.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...