RSAC
In un intervento alla RSA Conference 2021 sugli attacchi Web e le frodi online, alcuni ricercatori hanno parlato di ciò che si è appreso dagli studi sulle tattiche dei criminali informatici e gli attacchi alle grandi organizzazioni. Uno degli oratori, l’ex ufficiale delle forze dell’ordine Dan Woods, ha parlato della sua esperienza di formazione nelle CAPTCHA farm. Il lavoro era copioso e la paga misera (circa 3 dollari al giorno), ma la principale conclusione è stata che i CAPTCHA non servono più al loro scopo.
In generale, se un’interfaccia è creata per un essere umano, non c’è bisogno di un bot per accedervi. I programmi comunicano tra loro attraverso le API, non le interfacce utente; un bot che cerca di accedere a una risorsa o a un servizio online attraverso un’interfaccia utente è quasi certamente parte di un tentativo di exploit.
Per molti anni i CAPTCHA, meccanismo per distinguere gli utenti umani dai computer, hanno condotto una guerra solitaria contro i bot illegali. Molti servizi, compresi i sistemi bancari online e i programmi di fidelizzazione, li usano ancora. Ma possiamo fidarci più di loro?
Cos’è una click farm?
Con l’espressione Click farm ci si riferisce a una sezione del click fraudolento: ci sono persone che cliccano su annunci pay per click o che aumentano le classifiche di ricerca di una pagina web, accumulando like, visualizzazioni, voti e incrementando altre metriche. I bot si occupavano di questo compito ma l’uso di algoritmi anti-truffa ha portato gli scammer a coinvolgere persone in carne e ossa.
Alcune click farm, come quella in cui lavorava Woods, sono specializzate in servizi CAPTCHA, e sostituiscono i bot che riscontrano problemi di autorizzazione.
Chi lavora nelle cosiddette CAPTCHA farm esegue compiti che sono molto semplici per una persona, ma particolarmente complessi per una macchina. Possono selezionare immagini con un idrante, decifrare una sequenza distorta di lettere, risolvere un’equazione aritmetica molto semplici e altre operazioni simili.
Potreste aver visto una variazione sul tema di questa immagine che circola online:
Un meme sui robot e i CAPTCHA che circola su Internet.
Beh, non è solo una battuta.
Avete bisogno di CAPTCHA?
Gli utenti non hanno mai amato particolarmente il meccanismo dei CAPTCHA. C’è sempre un margine di errore: si può cliccare accidentalmente sull’immagine sbagliata, non notare un idrante in agguato sullo sfondo, confondere un carattere nel groviglio di lettere e numeri. Anche se nulla dovesse andare storto, il processo CAPTCHA non è una esperienza piacevole per l’utente.
Inoltre, le CAPTCHA farm non sono gli unici strumenti dei truffatori che coinvolgono i CAPTCHA. Alcuni, per esempio, stanno cercando di creare un sistema di intelligenza artificiale in grado di risolvere tali indovinelli. Per quanto imperfetti, i meccanismi CAPTCHA rappresentano un ulteriore livello di protezione e quindi usarli sembra sensato, ma niente è mai così semplice.
Alternative ai CAPTCHA
I CAPTCHA non proteggono più in modo affidabile dagli intrusi e infastidiscono gli utenti reali. Tutto sommato, probabilmente è arrivato il momento di lasciar perdere questo meccanismo antiquato.
Fortunatamente, però, i CAPTCHA non sono l’unico mezzo automatico per determinare se una persona o una macchina sta cercando di accedere al sistema. Se cercate qualcosa di più affidabile, utilizzate la nostra soluzione Kaspersky Fraud Prevention che elimina i passaggi di autenticazione non necessari e crea un’esperienza utente senza interruzioni.
Grazie alle tecnologie di apprendimento automatico, Advanced Authentication utilizza un’ampia analisi del comportamento degli utenti, indicatori biometrici passivi, dati sul dispositivo da cui qualcuno sta richiedendo l’autenticazione, il suo ambiente e altro ancora per decidere rapidamente e correttamente se consentire all’utente di accedere, eseguire ulteriori verifiche o limitare l’accesso. Complessivamente, la tecnologia determina accuratamente se al servizio accede una persona o una macchina.
Maggiori dettagli sulla soluzione sono disponibili qui.
Consigli