Dan Woods, Vice President, Shape Security Intelligence Center, F5, ha raccontato la sua personale esperienza come infiltrato nel ruolo di risolutore umano di CAPTCHA. Queste figure aiutano gli hacker nel commettere attacchi informatici risolvendo i quesiti pensati per bloccare i bot.
In passato, quando lavoravo nell’intelligence, sono stato spesso sorpreso dall’innovazione e dalla maturità dei servizi che i professionisti del crimine informatico sono in grado di sviluppare e offrire. Come responsabile dello Shape Intelligence Center, continuo a osservare con interesse l’evoluzione delle attività dei criminali e trovo assolutamente interessante sperimentare di persona come funzionano gli strumenti che utilizzano contro i nostri clienti. Un servizio chiave di cui si servono i criminali informatici è quello che permette di bypassare i CAPTCHA. Desidero raccontare che cosa ho scoperto quando sono andato a “lavorare” in incognito in una click farm che risolve CAPTCHA.
Significato del termine CAPTCHA
Il termine CAPTCHA non è altro che l’acronimo di “Completely Automated Public Turing test to tell Computers and Humans Apart”. I CAPTCHA sono stati implementati per la prima volta alla fine degli anni ’90 come rudimentale test di Turing inverso per supportare i siti web nel filtrare i crescenti volumi di traffico bot problematico.
Quando sono stati introdotti per la prima volta quasi vent’anni fa, i CAPTCHA fornivano una buona difesa contro gli attacchi automatici, rappresentando una barriera che le prime generazioni di bot non potevano facilmente superare. Tuttavia, i bot si sono evoluti e hanno iniziato a risolvere i CAPTCHA, e quindi i CAPTCHA stessi hanno dovuto trasformarsi e diventare sempre più complessi e difficili da risolvere per gli umani.
L’esperienza di Dan Woods come risolutore umano di CAPTCHA
Anche se le tecniche alternative per bypassare i CAPTCHA in modo più rapido ed efficiente si sono decisamente evolute negli ultimi anni, la soluzione originale della click farm umana rimane la più accessibile e popolare. Un servizio di risoluzione CAPTCHA alimentato dall’uomo ruota intorno a persone reali, retribuite, che risolvono i CAPTCHA, e a fantomatici “clienti” che li acquistano. Per vedere in prima persona come funziona questo business, ho deciso di iscrivermi sia come solver di CAPTCHA che come cliente presso l’azienda russa che risolve CAPTCHA, 2Captcha.
Ecco il funzionamento del servizio, spiegato da Dan Woods durante il suo periodo come risolutore umano di CAPTCHA.
1. L’hacker che utilizza un bot si connette a un sito web che presenta un CAPTCHA da risolvere
2. Il bot cattura un’immagine del CAPTCHA e la invia a 2Captcha tramite l’API di quest’ultimo
3. 2Captcha invia l’immagine a uno o più individui umani per risolverla
4. 2Captcha rimanda il CAPTCHA risolto al bot tramite l’API
5. Il bot invia il CAPTCHA risolto correttamente al sito web
6. Il sito web categorizza erroneamente il bot come umano e gli permette di procedere
Per i reCAPTCHA (un sistema CAPTCHA che permette agli host web di distinguere tra accesso umano e automatico al sito), il processo per aggirare il CAPTCHA è leggermente diverso, ma comunque piuttosto simile.
Per molti aspetti, i servizi di risoluzione CAPTCHA operano come qualsiasi altra azienda, con l’obiettivo di realizzare un profitto, sviluppando un modello di business spesso conveniente per i “clienti” (ovvero gli hacker che li acquistano) ma che non crea grandi margini di profitto per chi risolve i CAPTCHA .
Acquistare un risolutore umano di CAPTCHA è legale? La risposta di Woods
Chiedersi se tutto questo sia illegale è assolutamente naturale. La risposta è: non del tutto, ma risolvere un CAPTCHA non è come hackerare un server o prendere il controllo di un account. Può certamente essere considerato una violazione dei termini di servizio di un sito, e può essere sinonimo di complicità rispetto a un atto criminale (ad esempio, l’infiltrazione di credenziali), ma, di fatto, è chi utilizza il servizio di risoluzione CAPTCHA il vero colpevole, mentre il servizio stesso può sostenere di essere all’oscuro delle intenzioni dei suoi clienti.
2Captcha applica ai clienti tariffe diverse a seconda del tipo di CAPTCHA risolti che desiderano acquistare. 1.000 CAPTCHA tradizionali, ad esempio, costano 0,75 dollari. In confronto, 1.000 reCAPTCHA risolti costano ai clienti 2,99 dollari, quasi il quadruplo rispetto ai CAPTCHA tradizionali.
Diventare un risolutore umano di CAPTCHA è, in realtà, una delle cose più facili che abbia mai fatto. Ho creato un mio account fornendo semplicemente un alias di posta elettronica. Il sito web ha un’interfaccia decisamente user-friendly e intuitiva, con istruzioni chiare, e, come potete vedere nelle immagini seguenti, tutorial e suggerimenti per risolvere i CAPTCHA.
Ad aprile 2021 la retribuzione di 2Captcha destinata ai solver era di 0,30 dollari per 1.000 CAPTCHA tradizionali e 1,01 dollari per 1.000 ReCAPTCHA: entrambe frazioni veramente irrisorie (4% per i CAPTCHA tradizionali e 3,4% per i reCAPTCHA) rispetto a quello che i “clienti” hacker pagano a 2Captcha. Stando a questi numeri, risolutori CAPTCHA che lavorano 11 ore al giorno senza sosta – il che è del tutto irrealistico – guadagnerebbero solo 1,20 dollari al giorno per i CAPTCHA tradizionali e $2.02 per i reCAPTCHA più complessi.
È sorprendente infine notare come questi servizi piuttosto “torbidi” siano spesso noti per fornire un eccellente supporto ai clienti, e anche 2Captcha non fa eccezione. Oltre all’interfaccia user-friendly e all’abbondanza di training offerti, 2Captcha mette a disposizione degli utenti ampie pagine di supporto e FAQ, e alcune aziende di solver forniscono anche supporto telefonico!
I CAPTCHA hanno ancora senso?
Ecco quindi spiegato qual è lavoro di un solver di CAPTCHA umano, spesso purtroppo fonte di reddito per molte persone in tutto il mondo. Servizi di questo tipo, lo ripetiamo, sono convenienti e ampiamente utilizzati dagli hacker. Come risultato, i CAPTCHA oggi rappresentano solo un piccolo ostacolo per gli aggressori motivati, mentre introducono un notevole attrito per gli user legittimi. Nonostante questo, molte aziende fanno ancora affidamento su queste soluzioni di sicurezza, sottoponendo spesso i clienti a un test CAPTCHA per ogni interazione significativa. I criminali informatici e le economie parallele sottostanti che li bersagliano sono innovativi e non si fermano di certo davanti a CAPTCHA presenti da quasi vent’anni e che, senza più fornire barriere di difesa.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
