تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛ با این حال، سوال این است که آنها چقدر ایمن هستند؟ آیا میتوان آنها را فریب داد؟ برای سالها، CAPTCHA اولین خط دفاعی در برابر هرزنامهها، ترافیک جعلی و حملات انکار سرویس (DoS) بوده است، با توجه به اینکه اکثر مشاغل و سازمانها این روزها حضور آنلاین قابلتوجهی دارند، زمانی که مجرمین سایبری با موفقیت از کنترلهای CAPTCHA کنار گذاشته میشوند، میتوانند بهشدت به اعتبار کمپینها و شهرت بازاریابی آنلاین این سازمانها آسیب بزنند.
CAPTCHA چیست؟
در دهه 1950، دانشمند کامپیوتر، آلن ترنینگ، آزمایشی را ایجادکرد که در آن یک کامپیوتر برای نشاندادن خصوصیات انسانی از طریق ارتباط نوشتاری بهچالش کشیده شد، این آزمایش پایه و اساس را برای دانشمندان کامپیوتر آینده برای توسعه و استفاده از این روش مفهومی برای ایجاد CAPTCHA ایجاد کرد.
CAPTCHA برای بهچالشکشیدن کاربران در فرمهای وب و احرازهویت طراحی شده است، تبهکاران سایبری برنامههای خودکاری را برای پرکردن فرمها و کلیک روی دکمههای وبسایتها با سرعت بسیار بالا میسازند، این میتواند باعث افزایش هزینهها برای سازمانها و اتلافوقت و بودجه تیمهای فروش آنها شود.
به دلیل اثربخشی این پاسخ چالش در مسدودکردن رباتهای هرزنامه مخرب، CAPTCHA بهسرعت به روش ارجح برای مقابله مؤثر با هرزنامهها تبدیل شد.
CAPTCHA یک تصویر تحریفشده از کد منبع تولید میکند و تصویر را بهعنوان یک چالش بصری به کاربر ارائه میدهد، سپس کاربر تصویر را تجزیه و تحلیل میکند و با ارائه یک واجد شرایط متن ساده به درخواست پاسخ میدهد.
آسیبپذیریهای CAPTCHA
بااینحال، آنچه نگران کننده است، این است که CAPTCHA ممکن است دور زده شود و زمانی که توسط مجرمین سایبری مورد سوءاستفاده قرار گیرد، بیفایده شود.
روی مزارع کلیک کنید
مانند مزارع کلیک، مجرمان سایبری ممکن است افراد واقعی را برای دسترسی به وبسایتهایی که میخواهند با هرزنامه هدف قرار دهند، استخدام کنند، این مزارع معمولاً شامل بسیاری از ایستگاههای کاری یا دستگاههای تلفن همراه هستند که توسط مجرمین سایبری اداره میشوند که با وبسایت یک سازمان درگیر هستند تا اطلاعات غیرمعنا را وارد کنند، از آنجایی که آنها انسانهای واقعی هستند، میتوانند CAPTCHAS را به طور معمول رمزگشایی کنند.
اسکریپت بینسایتی
با استفاده از مکانیزمی به نام Cross-site scripting ، تبهکاران سایبری ممکن است بتوانند به اطلاعات شخصی مشتریان دسترسی پیدا کنند، اسکریپت بینسایتی (XSS) حملهای است که در آن یک اسکریپت مخرب به کد یک وبسایت قابلاعتماد تزریق میشود، حمله XSS اغلب با ارسال یک لینک مخرب به یک کاربر و وسوسهکردن کاربر برای کلیککردن روی آن آغاز میشود.
اگر برنامه یا وبسایت بهدرستی دادههای خود را پاک نکند، اسکریپت مخرب کد تبهکاران سایبری را در سیستم کاربر اجرا میکند، درنتیجه، مهاجم میتواند کوکی جلسه فعال را از کاربر و در این مورد CAPTCHA بدزدد، این نوع حمله میتواند بهراحتی برای کاربر بیاطلاع اتفاق بیفتد.
نرمافزار تشخیص کاراکتر نوری
با استفاده از تشخیص کاراکتر نوری مدرن ( OCR )، مجرمان سایبری میتوانند اکثر چالشهای CAPTCHA ارائهشده توسط وبسایت را حل کنند، در روزهای اولیه CAPTCHA ، فناوری OCR هنوز بهاندازه کافی برای رمزگشایی متن مخدوش استفادهشده توسط چالش پیشرفت نکرده بود،در سالهای اخیر، فناوری OCR بهقدری تکامل یافته است که رباتهای OCR مبتنی بر ابر میتوانند بهراحتی متن تغییرشکلیافته را رمزگشایی کنند.
از آنجایی که CAPTCHA ها تلاشهای متعددی را برای کاربران ارائه میدهند تا با چالش مواجه شوند، مجرمان سایبری میتوانند نرمافزار OCR خود را چندین بار قبل از اینکه دسترسی به آنها ممنوع شود، در سراسر چالشهای CAPTCHA اجرا کنند.
موتورهای هوشمصنوعی
برخی از مجرمین سایبری حتی تا آنجا پیش میروند که به موتورهای پیچیده هوشمصنوعی (AI) متوسل میشوند، این موتورهای هوشمصنوعی در هسته خود مدلهای عصبی دارند و یاد میگیرند که چگونه CAPTCHA ها را هرچه بیشتر در معرض آنها قرار میدهند، رمزگشایی کنند.
نتیجه
در حالی که reCAPTCHA های مدرن از مکانیسمهای بسیار پیچیدهتری نسبت به ارائه یک چالش ساده به کاربر استفاده میکنند، بسیاری از وبسایتها هنوز به آخرین فناوری حرکت نکردهاند، موتور گوگل در پشت این فناوری ظاهراً از بیومتریکهایی مانند حرکات ماوس، تاریخچه مرورگر و آدرسهای IP استفاده میکند تا بهطور تعاملی تأیید کند که «فردی» که از وبسایت استفاده میکند انسان است یا یک ربات.
کسبوکارها و سازمانها باید بدانند که تبهکاران سایبری بسیار حیلهگر هستند و سیستمهای امنیت سایبری برای موثربودن به لایههای امنیتی متعددی نیاز دارند ، یک نرمافزار امنیتی جامع به سازمانها کمک میکند تا ترافیک مخرب را در زمان واقعی شناسایی و مسدود کنند، چه منبع پولی باشد یا طبیعی، و بینش بهتری را در مورد تجزیه و تحلیل بازاریابی ارائه میدهد.