I sistemi di sicurezza online che impiegano CAPTCHA per distinguere gli utenti legittimi dal traffico bot stanno affrontando una nuova sfida: servizi a pagamento che superano questi sistemi utilizzando veri e propri solutori umani.
I Cybercriminali e la Sfida del CAPTCHA
“I cybercriminali hanno un grande interesse nel superare i CAPTCHA in modo accurato e, per rispondere a questa domanda, sono stati creati diversi servizi”, riporta un report di Trend Micro pubblicato la scorsa settimana.
Questi servizi di superamento CAPTCHA non utilizzano tecniche di riconoscimento ottico dei caratteri o avanzati metodi di machine learning, ma affidano i compiti di superamento CAPTCHA a veri e propri solutori umani.
CAPTCHA, acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart (test di Turing pubblico completamente automatizzato per distinguere computer e umani), è uno strumento che permette di distinguere gli utenti umani reali dagli utenti automatizzati, con l’obiettivo di contrastare lo spam e limitare la creazione di account falsi.
Il Funzionamento dei Servizi di Superamento CAPTCHA
Nonostante i meccanismi CAPTCHA possano risultare fastidiosi per l’esperienza utente, sono visti come un mezzo efficace per contrastare gli attacchi provenienti dal traffico web originato dai bot.
I servizi illeciti di superamento CAPTCHA operano inoltrando le richieste inviate dai clienti ai loro solutori umani, che risolvono il CAPTCHA e inviano i risultati agli utenti. Ciò avviene attraverso l’invocazione di un’API per sottoporre il CAPTCHA e l’invocazione di una seconda API per ottenere i risultati.
Questo rende facile per i clienti di tali servizi sviluppare strumenti automatizzati contro i servizi web online. E poiché sono veri umani a risolvere i CAPTCHA, l’obiettivo di filtrare il traffico bot attraverso questi test viene reso inefficace.
I Cybercriminali Uniscono i Servizi di Superamento CAPTCHA ai Proxyware
Ma non è tutto. Gli attori delle minacce sono stati osservati nell’acquisto di servizi di superamento CAPTCHA e nell’unirli a offerte proxyware per occultare l’indirizzo IP di origine ed eludere le barriere antibot.
Il proxyware, commercializzato come un’utilità per condividere la larghezza di banda internet inutilizzata dell’utente con altre parti in cambio di un “reddito passivo”, trasforma essenzialmente i dispositivi che lo eseguono in proxy residenziali.
In un esempio di un servizio di superamento CAPTCHA che prende di mira il popolare marketplace di social commerce Poshmark, le richieste di compito provenienti da un bot sono instradate attraverso una rete proxyware.
Come Mitigare i Rischi
“I CAPTCHA sono strumenti comuni usati per prevenire lo spam e l’abuso da bot, ma l’uso crescente di servizi di superamento CAPTCHA ha reso i CAPTCHA meno efficaci”, ha affermato il ricercatore di sicurezza Joey Costoya. “Mentre i servizi web online possono bloccare gli IP di origine degli abusanti, l’ascesa dell’adozione di proxyware rende questo metodo tanto inefficace quanto i CAPTCHA.”
Per mitigare tali rischi, si consiglia ai servizi web online di integrare i CAPTCHA e il blocco degli IP con altri strumenti anti-abuso.