Les chercheurs en cybersécurité mettent en garde contre les services de rupture CAPTCHA qui sont proposés à la vente pour contourner les systèmes conçus pour distinguer les utilisateurs légitimes du trafic de robots.
« Parce que les cybercriminels tiennent à casser les CAPTCHA avec précision, plusieurs services principalement orientés vers cette demande du marché ont été créés », a déclaré Trend Micro. a dit dans un rapport publié la semaine dernière.
« Ces services de résolution de CAPTCHA n’utilisent pas [optical character recognition] techniques ou méthodes avancées d’apprentissage automatique ; au lieu de cela, ils cassent les CAPTCHA en sous-traitant les tâches qui cassent les CAPTCHA à de véritables résolveurs humains. »
CAPTCHA – abréviation de Completely Automated Public Turing test to tell Computers and Humans Apart – est un outil permettant de différencier les utilisateurs humains réels des utilisateurs automatisés dans le but de lutter contre le spam et de restreindre la création de faux comptes.
Bien que les mécanismes CAPTCHA puissent être un expérience utilisateur disruptiveils sont considérés comme un moyen efficace de contrer les attaques du trafic Web provenant de robots.
Les services illicites de résolution de CAPTCHA fonctionnent en canalisant les demandes envoyées par les clients et en les déléguant à leurs résolveurs humains, qui élaborent la solution et soumettent les résultats aux utilisateurs.
Ceci, à son tour, est réalisé en appelant une API pour soumettre le CAPTCHA et en appelant une deuxième API pour obtenir les résultats.
« Cela permet aux clients des services de rupture CAPTCHA de développer facilement des outils automatisés contre les services Web en ligne », a déclaré le chercheur en sécurité Joey Costoya. « Et parce que de vrais humains résolvent les CAPTCHA, le but de filtrer le trafic de robots automatisés via ces tests est rendu inefficace. »
Ce n’est pas tout. Des cybercriminels ont été observés en train d’acheter des services capables de casser le CAPTCHA et de les combiner avec des offres de proxyware pour masquer l’adresse IP d’origine et contourner les barrières antibot.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Proxywarebien que commercialisé comme un utilitaire permettant de partager la bande passante Internet inutilisée d’un utilisateur avec d’autres parties en échange d’un « revenu passif », transforme essentiellement les appareils qui les exécutent en proxys résidentiels.
Dans un exemple d’un service de rupture CAPTCHA ciblant le marché populaire du commerce social Poshmark, les demandes de tâches émanant d’un bot sont acheminées via un réseau proxyware.
« Les CAPTCHA sont des outils couramment utilisés pour prévenir les spams et les abus de robots, mais l’utilisation croissante des services de rupture de CAPTCHA a rendu les CAPTCHA moins efficaces », a déclaré Costoya. « Alors que les services Web en ligne peuvent bloquer les adresses IP d’origine des abuseurs, la montée en puissance de l’adoption de proxyware rend cette méthode aussi édentée que les CAPTCHA. »
Pour atténuer ces risques, il est recommandé aux services Web en ligne de compléter les CAPTCHA et la liste noire d’IP avec d’autres outils anti-abus.