۱۴۰۳ ارديبهشت ۰۶ پنجشنبه - ۲۰۲۴ April ۲۵ Thursday
در عصر دانایی با دانا خبر      دانایی؛ توانایی است      دانا خبر گزارشگر هر تحول علمی در ایران و جهان      دانایی کلید موفقیت در هزاره سوم      
کد خبر: ۱۳۰۶۴۸۹
تاریخ انتشار: ۱۵ آذر ۱۴۰۱ - ۱۵:۲۵

کپچا‌ی وب‌سایت چه آسیب پذیری هایی در برابر حملات سایبری دارد؟

CAPTCHA و reCAPTCHA در تمام وب‌سایت‌هایی که نیاز به تعامل کاربر و تکمیل فرم‌های آنلاین دارند، رایج است، اگرچه این قابلیت در ابتدا کمی آزار‌دهنده بود، اما با تکامل فن‌آوری CAPTCHA ها به استاندارد Google reCAPTCHA، استفاده از آن‌ها بهتر شده‌است.

تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛ با این حال، سوال این است که آن‌ها چقدر ایمن هستند؟ آیا می‌توان آن‌ها را فریب داد؟ برای سال‌ها، CAPTCHA اولین خط دفاعی در برابر هرزنامه‌ها، ترافیک جعلی و حملات انکار سرویس (DoS) بوده است، با توجه به اینکه اکثر مشاغل و سازمان‌ها این روز‌ها حضور آنلاین قابل‌توجهی دارند، زمانی که مجرمین سایبری با موفقیت از کنترل‌های CAPTCHA کنار گذاشته می‌شوند، می‌توانند به‌شدت به اعتبار کمپین‌ها و شهرت بازاریابی آنلاین این سازمان‌ها آسیب بزنند.

CAPTCHA  چیست؟

در دهه 1950، دانشمند کامپیوتر، آلن ترنینگ، آزمایشی را ایجاد‌کرد که در آن یک کامپیوتر برای نشان‌دادن خصوصیات انسانی از طریق ارتباط نوشتاری به‌چالش کشیده شد، این آزمایش پایه و اساس را برای دانشمندان کامپیوتر آینده برای توسعه و استفاده از این روش مفهومی برای ایجاد CAPTCHA ایجاد کرد.

CAPTCHA  برای به‌چالش‌کشیدن کاربران در فرم‌های وب و احراز‌هویت طراحی شده است، تبهکاران سایبری برنامه‌های خودکاری را برای پر‌کردن فرم‌ها و کلیک روی دکمه‌های وب‌سایت‌ها با سرعت بسیار بالا می‌سازند، این می‌تواند باعث افزایش هزینه‌ها برای سازمان‌ها و اتلاف‌وقت و بودجه تیم‌های فروش آن‌ها شود. 

به دلیل اثر‌بخشی این پاسخ چالش در مسدود‌کردن ربات‌های هرزنامه مخرب،  CAPTCHA به‌سرعت به روش ارجح برای مقابله مؤثر با هرزنامه‌ها تبدیل شد.

CAPTCHA  یک تصویر تحریف‌شده از کد منبع تولید می‌کند و تصویر را به‌عنوان یک چالش بصری به کاربر ارائه می‌دهد، سپس کاربر تصویر را تجزیه و تحلیل می‌کند و با ارائه یک واجد شرایط متن ساده به درخواست پاسخ می‌دهد. 

آسیب‌پذیری‌های CAPTCHA

با‌این‌حال، آنچه نگران کننده است، این است که CAPTCHA ممکن است دور زده شود و زمانی که توسط مجرمین سایبری مورد سوء‌استفاده قرار گیرد، بی‌فایده شود. 

روی مزارع کلیک کنید

مانند مزارع کلیک، مجرمان سایبری ممکن است افراد واقعی را برای دسترسی به وب‌سایت‌هایی که می‌خواهند با هرزنامه هدف قرار دهند، استخدام کنند، این مزارع معمولاً شامل بسیاری از ایستگاه‌های کاری یا دستگاه‌های تلفن همراه هستند که توسط مجرمین سایبری اداره می‌شوند که با وب‌سایت یک سازمان درگیر هستند تا اطلاعات غیر‌معنا را وارد کنند، از آنجایی که آن‌ها انسان‌های واقعی هستند، می‌توانند CAPTCHAS را به طور معمول رمزگشایی کنند.

اسکریپت بین‌سایتی

با استفاده از مکانیزمی به نام Cross-site scripting  ، تبهکاران سایبری ممکن است بتوانند به اطلاعات شخصی مشتریان دسترسی پیدا کنند، اسکریپت بین‌سایتی (XSS) حمله‌ای است که در آن یک اسکریپت مخرب به کد یک وب‌سایت قابل‌اعتماد تزریق می‌شود، حمله XSS اغلب با ارسال یک لینک مخرب به یک کاربر و وسوسه‌کردن کاربر برای کلیک‌کردن روی آن آغاز می‌شود.    

اگر برنامه یا وب‌سایت به‌درستی داده‌های خود را پاک نکند، اسکریپت مخرب کد تبهکاران سایبری را در سیستم کاربر اجرا می‌کند، در‌نتیجه، مهاجم می‌تواند کوکی جلسه فعال را از کاربر و در این مورد CAPTCHA بدزدد، این نوع حمله می‌تواند به‌راحتی برای کاربر بی‌اطلاع اتفاق بیفتد.

نرم‌افزار تشخیص کاراکتر نوری

با استفاده از تشخیص کاراکتر نوری مدرن ( OCR )، مجرمان سایبری می‌توانند اکثر چالش‌های CAPTCHA ارائه‌شده توسط وب‌سایت را حل کنند، در روز‌های اولیه CAPTCHA ، فناوری OCR هنوز به‌اندازه کافی برای رمز‌گشایی متن مخدوش استفاده‌شده توسط چالش پیشرفت نکرده بود،در سال‌های اخیر، فناوری OCR به‌قدری تکامل یافته است که ربات‌های OCR مبتنی بر ابر می‌توانند به‌راحتی متن تغییر‌شکل‌یافته را رمز‌گشایی کنند.

از آنجایی که CAPTCHA ها تلاش‌های متعددی را برای کاربران ارائه می‌دهند تا با چالش مواجه شوند، مجرمان سایبری می‌توانند نرم‌افزار OCR خود را چندین بار قبل از اینکه دسترسی به آن‌ها ممنوع شود، در سراسر چالش‌های CAPTCHA اجرا کنند.

موتور‌های هوش‌مصنوعی

برخی از مجرمین سایبری حتی تا آنجا پیش می‌روند که به موتور‌های پیچیده هوش‌مصنوعی (AI) متوسل می‌شوند، این موتور‌های هوش‌مصنوعی در هسته خود مدل‌های عصبی دارند و یاد می‌گیرند که چگونه CAPTCHA  ها را هر‌چه بیشتر در معرض آن‌ها قرار می‌دهند، رمز‌گشایی کنند.

نتیجه

در حالی که reCAPTCHA های مدرن از مکانیسم‌های بسیار پیچیده‌تری نسبت به ارائه یک چالش ساده به کاربر استفاده می‌کنند، بسیاری از وب‌سایت‌ها هنوز به آخرین فناوری حرکت نکرده‌اند، موتور گوگل در پشت این فناوری ظاهراً از بیومتریک‌هایی مانند حرکات ماوس، تاریخچه مرورگر و آدرس‌های IP استفاده می‌کند تا به‌طور تعاملی تأیید کند که «فردی» که از وب‌سایت استفاده می‌کند انسان است یا یک ربات.
کسب‌و‌کار‌ها و سازمان‌ها باید بدانند که تبهکاران سایبری بسیار حیله‌گر هستند و سیستم‌های امنیت سایبری برای موثر‌بودن به لایه‌های امنیتی متعددی نیاز دارند ، یک نرم‌افزار امنیتی جامع به سازمان‌ها کمک می‌کند تا ترافیک مخرب را در زمان واقعی شناسایی و مسدود کنند، چه منبع پولی باشد یا طبیعی، و بینش بهتری را در مورد تجزیه و تحلیل بازاریابی ارائه می‌دهد.

ارسال نظر
آخرین اخبار