RIP, CAPTCHA

Tijdens de online RSA Conference 2021 bespraken onderzoekers ook CAPTCHA farms.

In een paneldiscussie op de RSA Conference 2021 over web-aanvallen en online fraude bespraken onderzoekers de lessen die getrokken kunnen worden uit onderzoeken van de tactieken van cybercriminelen en aanvallen op grote organisaties. Eén spreker, voormalig wetsdienaar Dan Woods, sprak over zijn ervaring als werknemer in training op een CAPTCHA farm. Werk was er in overvloede en de compensatie was gering (ongeveer $ 3 per dag), maar zijn belangrijkste les was dat CAPTCHA niet langer geschikt is voor zijn doel.

Over het algemeen kan gesteld worden dat als een interface voor een mens is gecreëerd, er geen behoefte voor een bot is om er toegang tot te krijgen. Programma’s communiceren via API’s met elkaar, niet via gebruikersinterfaces; een bot die probeert toegang te krijgen tot een online hulpmiddel of dienst via een gebruikersinterface, is bijna zeker onderdeel van een poging tot het benutten van kwetsbaarheden.

CAPTCHA, een mechanisme voor het onderscheiden van menselijke gebruikers van computers, gaat al jarenlang de eenzame strijd aan met illegale bots. Veel diensten, waaronder online systemen van banken en loyaliteitsprogramma’s, maken hier nog gebruik van. Maar kunnen we CAPTCHA nog wel vertrouwen?

Wat is een click farm?

Click farm verwijst naar het menselijke element van klikfraude: situaties waarbij veel mensen op advertenties klikken die per klik betalen, de rangschikking van een webpagina in de zoekresultaten een boost geven, het opdrijven van het aantal likes, weergaves, stemmen en andere statistieken. Eerder deden bots dit klikwerk, maar door het gebruik van antifraude-algoritmes zijn scammers overgestapt op het gebruik van echte mensen.

Sommige click farms, zoals die waar Woods werkzaam was, specialiseren zich in CAPTCHA-diensten, waarbij het werk van bots wordt overgenomen in het geval van verificatieproblemen.

Mensen die actief zijn op een CAPTCHA-farm voeren taken uit die zeer eenvoudig zijn voor een mens, maar erg complex voor een machine. Ze kunnen dan bijvoorbeeld afbeeldingen met een brandkraan selecteren, een vervormde reeks letters ontcijferen, een simpele som oplossen of tal van andere, vergelijkbare taken uitvoeren.

U hebt wellicht een variatie op het thema van deze afbeelding online zien circuleren:

Internet-meme over robots en CAPTCHA’s

Dit is niet zomaar een grap.

Hebt u CAPTCHA nodig?

Gebruikers zijn nooit echt dol geweest op het CAPTCHA-mechanisme. De kans op een fout bestaat altijd: per ongeluk op de verkeerde afbeelding klikken, een brandkraan op de achtergrond missen of een teken in de wirwar van letters en cijfers over het hoofd zien. Zelfs als er niets misgaat, is het CAPTCHA-proces UX-negatief — het verstoort de flow en leidt af van de gebruikerservaring.

CAPTCHA-farms zijn ook niet de enige tools van op CAPTCHA gefocuste scammers. Sommige proberen bijvoorbeeld nog altijd om AI te ontwikkelen die in staat is om dit soort raadsels op te lossen. Hoe imperfect ze ook zijn, CAPTCHA-mechanismes bieden extra bescherming en het gebruik ervan lijkt daarom logisch. Maar het ligt nooit zo simpel.

CAPTCHA-alternatieven

CAPTCHA’s bieden niet langer betrouwbare bescherming tegen indringers en ze kunnen erg irritant zijn voor echte gebruikers. Kortom, het is tijd om dit verouderde mechanisme achter ons te laten.

Gelukkig zijn CAPTCHA’s echter niet het enige geautomatiseerde middel om te bepalen of het een mens of machine is die toegang tot het systeem probeert te verkrijgen. Kijk voor een betere optie eens naar de Advanced Authentication van Kaspersky Fraud Prevention, die onnodige authenticatiestappen elimineert en een naadloze gebruikerservaring creëert.

Dankzij machine learning-technologieën maakt Advanced Authentication gebruik van gebruikersgedragsanalyses, passieve biometrische indicators, gegevens over het apparaat dat wordt gebruikt om authenticatie aan te vragen, hun omgeving, en meer om snel en op correcte wijze te beslissen of een gebruiker in mag loggen, er aanvullende verificatie nodig is of de toegang moet worden geweigerd. In de kern bepaalt deze technologie op de juiste wijze of er toegang tot de dienst wordt aangevraagd door een persoon of een machine.

Meer details over deze oplossing vindt u hier.

Tips