Позбавляємося настирливої ​​captcha у Вконтакті. Як це працює: CAPTCHA У якому браузері найлегше проходити капчу

• ручний злом CAPTCHA (хакер вивчає конкретну реалізацію капчі та підбирає способи її злому);
• використання спеціальних програм (роботів), за допомогою яких організовуються масові автоматизовані атаки на кілька сайтів одночасно (як правило, розроблених на одній платформі або мають однакові капчі, до яких вдалося підібрати «ключі» хакерам);
• експлуатація праці справжніх людей.

Мотиви зловмисників при зломі капчі можуть бути різними, починаючи від банальної заздрості та помсти, закінчуючи поширенням спаму та отримання контролю над усім ресурсом за допомогою SQL-ін'єкцій та інших механізмів.

Як правило, всі масові обходи капчі починаються зі зломів вручну. Відбувається це зазвичай на замовлення або з наукового інтересу, і такі атаки націлені на конкретні реалізації CAPTCHA.

А потім ставляться на потік, тобто. організовуються автоматично із застосуванням програм-роботів (ботів).

Ну, а у випадках, коли уникнути капчу програмно не виходить, CAPTCHA вводиться вручну із застосуванням праці реальних людей, які надсилають ці дані зловмиснику або вирішують капчу в режимі реального часу завдяки API.

Отже, з інструментами та мотивами хакерів розібралися. Давайте розглянемо найпоширеніші способи обходу капчі, розсортувавши їх на дві групи: ті, які можливі завдяки помилкам програмістів при реалізації CAPTCHA і ті, для яких використовуються сучасні технології.

Почнемо по порядку, і я постараюся їх розмістити в порядку зростання складності захисту від них, почавши з найпримітивніших і закінчуючи тими, від яких ще не вигадали способів захисту.

Для створення інтриги скажу, що їх на Наразііснує цілих три.

Обхід капчі через помилки реалізації

Якщо запитати у творців своїх продаж CAPTCHA про те, як обійти капчу, вони назвуть вам, як мінімум кілька методів. Але, найцікавіше, що вони самі ж часом залишають у своїх творах вікна та двері для їхнього злому.

Відбувається це найчастіше з вини людського фактора, а точніше звичайної неуважності при розробці та недостатньої ретельності при тестуванні безпеки капчів.

Але, іноді має місце і недосвідченість, через яку про деякі способи обходу капчі програмісту просто не було відомо на момент розробки.

Як я обіцяв, у цьому розділі я розгляну найпоширеніші, а також способи захисту від них. І почнемо, як обіцялося, із самого примітиву.

Обхід капчі з фіксованим набором завдань

На зорі виникнення капчі як засоби боротьби з ботами самописні капчі були дуже популярні, т.к. всім хотілося спробувати нову технологію, і в результаті капчі вигадували всі, кому не ліньки.

У разі застосування самописних капчів, при реалізації яких розробники вирішили не морочитися великою базою картинок, питань або іншого завдання, для цілеспрямованої автоматичної атаки на сайт з такою CAPTCHA необхідно лише дізнатися відповіді в ручному режимі.

Тобто. заходимо на такий сайт, підбираємо відповіді, складаємо БД із завдань та правильних рішень і пишемо бота для брутфорс атак, який буде підбирати відповідні варіанти.

Але, на щастя, таких ситуацій у світі зустріти багато вдасться, т.к. кібербезпека з того часу досягла дуже солідного рівня і створенням таких примітивів ніхто не займається.

А якщо такі люди і є, то вони дуже швидко навчаються на своїх помилках, коли втрачають контроль над своїм сайтом чи клієнтів, яких через такі витвори зламували.

Захист:ніколи не створювати капчі з набором завдань, рішення яких можна підібрати вручну. Якщо для вирішення капчі потрібно вирішити будь-який математичний приклад або ввести символи з картинки, завдання та відповіді на них повинні генеруватися автоматично.

Ще одним способом захисту від подібного введення капчі автоматом є зміни імені поля форми, яке має вводитися відповідь. Якщо ім'я поля, наприклад, завжди буде captcha, то зловмиснику буде простіше таку капчу зламати. Його програма-робот буде лише надсилати запит до серверного скрипту, вказаного в HTML атрибут"action" форми, що містить необхідне значення капчі.

Якщо в цій ситуації ім'я поля капчі буде постійно однаковим, то хакер просто скористається базою найбільш поширених назв полів капчі, скласти яку можна самостійно при вивченні різних сайтів або завантажити в готовому вигляді на спеціалізованих ресурсах (перераховувати їх для пропаганди хакерства я не буду).

Якщо ж ім'я поля, як і саме завдання для проходження капчі генеруватиметься на сервері, то жодна база імен капчі не допоможе. Для того щоб використовувати динамічну назву поля, на практиці капча генерується одним скриптом, а обробляється іншим.

У разі реалізації капчі є один істотний аспект: скрипту, обробляє правильність її введення, необхідно якось передавати ім'я поля капчі. Робиться це найчастіше за допомогою прихованого input форми, data-атрибутів або передачі їх через cookies або сесію.

Ключовим моментом є те, що не можна передавати ім'я безпосередньо, тобто поле капчі називається captcha_mysite, а в hidden полі стоїть значення captcha_mysite або site. Воно обов'язково має бути зашифроване, причому розшифровка має відбуватися із застосуванням того ж алгоритму, що й шифрування.

Оскільки алгоритм шифрування буде зберігатися на сервері, то зловмисник не зможе просто його дізнатися (тільки якщо він не отримає доступ до вмісту серверного скрипта).

До речі, достатньо замість імені поля використовувати випадкову послідовність символів, яку в мові PHP дуже легко отримати за допомогою функції uniqid().

Обхід капчі за допомогою сесій

Якщо реалізація капчі має на увазі збереження правильної відповіді в сесії, і сесія не створюється заново після кожного введення капчі, то зловмисники можуть дізнатися про ідентифікатор сесії та дізнатися зашифроване значення CAPTCHA.

Таким чином вони з легкістю зможуть підібрати алгоритм шифрування і використовувати його для подальших автоматизованих брутфорс атак за допомогою ботів.

Також, якщо код перевірки відповіді користувача на сервері програміст не виконає перевірку на порожнечу змінної сесії, в якій передається відповідь користувача, то хакер може використовувати неіснуючий ідентифікатор сесії, для якої змінної просто не існуватиме.

За рахунок цього упущення подібні капчі можуть бути пройдені за допомогою підсування неіснуючих id сесій та порожніх значень капчі.

Захист:як би не хотілося відмовитися від використання сесій для передачі значень капчі, це дуже велика ціна для забезпечення безпеки капчі від зломів. Тому сесії, значення їх змінних та ідентифікаторів просто потрібно ретельно захищати, щоб хакер не міг скористатися інформацією, що зберігається в них.

Також варто робити всі банальні, але такі необхідні перевірки змінних на існування та порожнечу їх значень.

Злом капчі через секретну інформацію в клієнтському коді

Іноді капчі роблять таким чином, що при передачі значень користувача на сервер використовують шифрування з використанням так званої «солі», тобто. додавання до значення CAPTCHA ID сесії, значення IP чи інших унікальних даних. Нерідко таким може бути проста випадкова послідовність символів.

І головною умовою рішення капчі є збіг зашифрованого значення CAPTCHA, введеного користувачем, з її правильним значенням, яке було згенероване під час відкриття сторінки та записане в сесію або інше сховище для подальшої передачі на сервер.

Збіг даних значень буде з великою ймовірністю говорити про те, що користувач - реальна людина, яка ввела капчу, згенеровану під час сеансу зв'язку, наприкінці якого він її вирішив і з того самого комп'ютера, на якому він вперше побачив капчу.

Якщо ж ці унікальні значенняне збігатимуться, то, швидше за все, капча була введена роботом автоматично.

Даний механізм захисту сайту від роботів продуманий добре, але іноді ці секретні згенеровані значення є в HTML коді сторінки, звідки їх можна легко вважати. Отже, можна налаштувати їх автоматичне читання за допомогою програм і так само автоматичне введення при проходженні капчі.

Захист:при реалізації CAPTCHA самостійно потрібно враховувати цей пролом у безпеці і, якщо для розгадування капчі необхідно буде враховувати значення якогось унікального ідентифікатора, то слід стежити, щоб його згадки не було ні в JS, ні в HTML-коді, який можна переглянути в браузері.

Також потрібно перестворювати ID сесії та генерувати інші унікальні значення (включаючи і саму CAPTCHA, якщо це можливо) після кожної спроби введення капчі, що вбереже вас або принаймні ускладнить завдання хакерам по злому сайту шляхом автоматичного підбору правильного значення.

Ще один засіб захисту - по можливості, блокувати дії по IP та кількості спроб.

Як обійти капчу без зміни IP

Брутфорс атака є ефективним способомобходу капчі у випадках реалізації її з фіксованим набором завдань та його рішень.

Ще одна помилка при реалізації CAPTCHA, яка робить її вразливою для автоматизованих атак, це відсутність обмежень часу на вирішення капчі і кількість спроб.

Обійти капчу в такому разі можна буде за допомогою спеціальної програми, яка збиратиме базу питань або підбиратиме відповіді з наявного переліку. Причому все це буде зроблено в автоматичному режимі завдяки сучасним методам машинного навчаннята напрацюванням в області штучного інтелекту, які за останні роки зробили великий крок уперед.

Захист:при реалізації по-справжньому безпечної капчі потрібно лімітувати час на відповідь та кількість спроб розв'язання капчі з одного ІР для блокування брутфорс атак роботів.

Наприклад, якщо між генерацією капчі та відповіддю користувача пройшло менше 2 секунд, то вважати такого користувача роботом із видачею відповідного повідомлення на екран. Текст повідомлення повинен містити вказівки реальним користувачам, що введення не повинно виконуватися так швидко (на випадок, якщо людина фізично змогла ввести відповідь швидше).

Якщо це справді була людина, то вона вживе відповідних заходів, а якщо робот — він продовжить робити спроби обходу капчі.

Такі спроби слід вважати невірними з фіксацією їх кількості у змінній сесії та блокуванні подальших дійдля користувачів за їх IP. Не зайве також для таких заблокованих адрес видавати замість капчі повідомлення зв'язатися з адміністратором у випадку, якщо заблокований користувач був реальною людиною.

І ще одним ефективним способом боротьби з ботами є запровадження лімітів на певні дії на сайті. Наприклад, одна реєстрація з одного ІР. Тут головне — не заграватись і не доходити до лімітів на кількість коментарів для одного унікального користувача.

Але, правду кажучи, ці заходи мало чим допоможуть завдяки проксі-серверам.

Обхід капчі за допомогою проксі

Навіть у ситуаціях, коли блокування великої кількості спроб вирішення капчі по IP все-таки відбувається, 100% захист від роботів цей захід не забезпечує.

Всьому провиною проксі сервера та програми анонімайзери, що працюють на їх базі, про які відомо, мабуть, кожному сучасному школяру, що шукає способи обходу батьківського контролюта блокування заборонених сайтів.

Анонімайзери дозволяють приховувати дані комп'ютера при користуванні сайтом, у тому числі і заповітну IP адресу, за якою клієнта можна обчислити та заблокувати.

Схема проста: користувач підключається до проксі серверу, де його дані шифруються або підмінюються іншими (наприклад, вам може бути присвоєна IP адреса іншої країни), а потім запит на цільовий сайт, до якого клієнт бажає підключитися.

Таким чином, зловмисник з легкістю обійде всі ваші блокування IP і буде підбирати правильне рішення капчі стільки, скільки йому потрібно.

А на деяких сайтах, де капча з'являється лише при виконанні великої кількості однакових дій (наприклад, у ВК при додаванні великої кількості друзів) вона взагалі може не з'явитися, якщо кожна дія буде здійснюватися з нового IP і з дотриманням таймаутів між спробами вирішення капчі, щоб поведінка бота була схожа на поведінку реальної людини.

Даний спосіб використовували ще півстоліття тому при написанні перших програм з метою проходження тесту Тьюринга, реалізацією якого є CAPTCHA.

Описаними принципами, до речі, користуються всі відомі нині програми для автоматичного введеннякапчі. Для зміни IP адреси підключення до сайту вони використовують безкоштовні та комерційні бази проксі серверів, які за наявності Інтернету дістати не важко.

Захист:на жаль, захиститися від зламування капчі, відстежуючи зловмисників по IP, завдяки наявності анонімайзерів та відкритих баз PROXY ніяк не вдасться.

Єдина надія, що самі PROXY сервери можуть вводити обмеження на кількість використовуваних IP одним користувачем та кількості підключень кожного з них.

Тому не варто відмовлятися від перевірки IP взагалі. Завдяки вашим запобіжним заходам, що захищають від обходу капчі, можна буде рано чи пізно заблокувати хакера на тому чи іншому рівні.

А найправильнішим висновком у цій ситуації буде використання крім даного способу захисту від злому капчі ще й інші, що допомагають викрити хакера іншим способом.

Введення капчі автоматично за допомогою емуляторів дій

Якщо для проходження CAPTCHA потрібно зробити певну дію (натискання на кнопку, переміщення повзунка і т.д.), то обійти капчу в даній ситуації можна ще й семулювавши необхідну дію (клік на певний елемент керування чи іншу дію).

Єдина проблема, яка може стояти в цій ситуації перед хакером, - це як знайти потрібний елемент управління на сайті програмно.

Найпростіше це зробити за його координатами або положенням щодо якихось статичних елементів ресурсу.

Захист:щоб уникнути автоматичного введення капчі в даному випадку необхідно постійно змінювати положення елемента управління, що дозволяє вирішити CAPTCHA. Тобто. якщо з трьох чоловічків потрібно вибрати тільки того, у якого піднято рука, його в жодному разі не можна розміщувати постійно на тому самому місці.

Ну, а у випадках інших реалізацій капчі, коли це неможливо (наприклад, для кнопки скачування або поля «я не робот», у яких може бути тільки одна правильна відповідь), необхідно використовувати інші методи захисту, які можуть зупинити роботів від автоматичного рішення капчі.

Як обійти капчу за допомогою високих технологій

Слабкі місця реалізацій CAPTCHA, які є дірками в безпеці та зустрічаються на практиці найчастіше, ми розглянули. Однак, на практиці навіть найбездоганніші капчі часом не здатні захистити ресурс, що їх використовує, від атак хакерів.

Дані випадки зламування капчі є прямим наслідком сучасного прогресу та рівня розвитку. комп'ютерних технологійякі, як відомо, не завжди використовуються в благих цілях.

Отже, як уникнути капчі за допомогою сучасних технологій?

Обхід капчі за допомогою OCR

OCR (Optical Character Recognition) оптичне розпізнаваннясимволів) — технологія для розпізнавання друкованого або машинописного тексту для подальшого використання в електронному форматі. Найбільш відомим програмним забезпеченням, що реалізує цю технологію, є Adobe FineReader.

Успішно використовується при створенні програм автоматичного введення капчі, що успішно розпізнають та вирішують графічні капчі, для проходження яких потрібно ввести послідовність символів, зображених на малюнку.

Хакери, звичайно не користуються Adobe FineReader (хоча, може, і такі є 🙂), а пишуть спеціальні скрипти, які із застосуванням різних готових бібліотек для роботи із зображеннями або з використанням можливостей мови для роботи з графікою, розпізнають капчу і видають символьну послідовність, зображену у ньому.

В Інтернеті я знайшов достатньо прикладів таких скриптів. Принцип їхньої роботи полягав у наступному:

• очищення зображення, що використовується у графічних CAPTCHA, від різних шумів;
• розбиття зображеного рядка на окремі символи;
• порівняння кожного з них із заготовленою картинкою (зразком).

Графічні зразки готувалися з урахуванням різних шрифтів та можливих спотворень (нахили, повороти тощо).

Як ви вже здогадалися, найголовніше - це скласти базу зображень символів у різних варіаціях, з якими потім порівнюватимуть символи капчі.

Захист:власне кажучи, з метою заплутування OCR програм і застосовуються дратівливі шуми та спотворення символів на картинках, через які текст іноді складно розібрати навіть людині. Але, у разі роботів це теж добре працює, в результаті чого OCR алгоритми не можуть видати 100% точний результат, що позитивно впливає на безпеку капчі та сайтів, що її використовують.

Якщо ви вирішили використати графічні капчі, для проходження яких потрібно ввести символи, зображені на картинці, потрібно слідувати наступним рекомендаціям:

1. Символи різних CAPTCHA повинні мати різні координати.
2. Якщо ви використовуєте якісь ефекти шуму для створення фону, його колір повинен збігатися з кольором символів, інакше фон можна легко прибрати, виділивши символи для розпізнавання.
3. Відстань між символами має бути мінімальною. Можна навіть накладати їх один на одного, але без фанатизму, щоб реальні користувачі могли їх розпізнати.
4. Використовувати різні шрифти, щоб було складно підібрати відповідний для розпізнавання.
5. Всіляко спотворювати символи, змінювати їхнє зображення і товщину.
6. Використовувати спеціальні бібліотеки, які дозволяють змінювати символи таким чином, що для їхнього програмного розпізнання буде неможливо підібрати шрифт. Прикладом такого рішення є капча від автора ресурсу captcha.ru, при генерації якої використовується авторський алгоритм хвилеподібного спотворення символів.

Всі ці заходи дозволяють ускладнити розпізнаваність графічної капчі для OCR систем та скоротити кількість автоматичних вводів капчі.

Як пройти капчу за допомогою нейронних мереж

Якщо OCR – технологія досить стара (перші запатентовані пристрої відомі на початку XX століття), то штучні нейронні мережі (ІНС) з'явилися лише у другій половині попереднього століття (для технологій 50 років – це суттєвий вік 🙂).

Саме алгоритми ІНС лежать в основі штучного інтелекту (ІІ), метою якого є створення програм та пристроїв, наділених творчими функціями, тобто. створення рукотворної людини.

На даний момент ІІ постійно розвивається, і з кожним днем ​​з'являються нові і винаходи, що володіють не баченими раніше властивостями.

На останній конференції, присвяченій нейронним мережам, на якій я був присутній, повідомлялося, що компанія Google, активно займається розробками в даній галузі, вже анонсувала загальнодоступні хмарні сервіси, що працюють на базі ІНС.

З їх допомогою можна:

• розпізнавати об'єкти на фотографіях (від статі зображеної людини та марки її джинсів до того, якій грі належить аналізована картинка, з усією її колірною палітрою, назвою локації та того, що на ній відбувається);
• керувати пристроями голосом та жестами;
• писати інструкції до відео на підставі того, що відбувається у відеоролику та ін.

Природно, що за даних можливостях створення програми для автоматичного введення капчі із застосуванням принципів ІНС не становить складності для знаючих людей.

Один із таких продуктів був розроблений компанією Vicarious у 2014 році. Розроблена їй нейронна мережа здатна розпізнавати капчу в 90% випадках (нагадаю, що для вирішення класичного тесту Т'юрінга, яким і є CAPTCHA, необхідний лише 1% правильних відповідей).

Захист:На жаль, захиститися від цього виду атак неможливо. І на щастя, ІНС від Vicarious не використовуватиметься для цілеспрямованих атак для обходу капчі на сайтах, т.к. вона занадто дорога для таких дрібних завдань (самі виробники кажуть, що вона є кластером з безлічі серверів). Основна її сфера застосування - це вирішення різних завдань медицини та робототехніки.

А злом капчі з її допомогою це лише демонстрація можливостей.

Але час іде, дорогі ще вчора технології здешевлюються, і не за горами той час, коли ІНС продукти отримають поширення. Тому цілком можливо, що в майбутньому з'являться боти для автоматичного введення капчі, наділені штучним інтелектом.

Обхід капчі за допомогою загальнодоступних сервісів

У міру розвитку систем OCR та ІІ заходи ускладнення графічних капчів ставали все складнішими і складнішими, що дозволяло їх розробникам докладати колосальних зусиль при реалізації. Але однаково вони виявлялися марними, т.к. вони не забезпечували 100% захист сайтів від автоматизованих атак.

Тому Google пішов, як мені здається, вірним шляхом і вирішив винайти новий стандарт noCAPTCHA, відмовившись від ручного введення символів з картинок.

При розробці reCAPTCHA noCAPTCHA використовувався досвід боротьби з роботами в епоху зародження капчі та сучасні напрацювання в галузі штучного інтелекту, що дозволяє забезпечити належний рівень безпеки сайту, але й не дуже ускладнювати при цьому життя користувачам Інтернету.

Але, незважаючи на те, що даний стандартз'явився нещодавно, в 2015 році, вже знайдено спосіб її автоматичного вирішення. І він полягає не в застосуванні штучного інтелекту.

Все набагато банальніше - для проходження Google reCAPTCHA достатньо використовувати сервіси самого Google з розпізнавання картинок та мови.

Розпізнавання картинок у разі reCAPTCHA v2 (та сама noCAPTCHA) навряд чи допоможе, т.к. при графічних завданнях потрібно вибирати зображення, на яких присутні необхідні об'єкти, а не вводити зображені символи, як це було в попередній версії.

А ось послуги сервісу Google Speech Recognition, що є одним із досягнень Google у галузі штучного інтелекту, про які згадувалося в попередньому способі обходу капчі, буде дуже доречним. Оскільки сервіс надає API, то створити додаток на його базі не складає труднощів.

Захист:на жаль, у цій ситуації, як і в попередній, де для обходу капчі використовувалися ІНС, захиститися від обходу капчі не вдасться. Єдиним позитивним моментом є відносна доступність відповідних сервісів, т.к. Google дає їх використання лише тестові $300.

Після їх завершення послуги стають платними. Проте, для хакерів навряд це буде перешкодою, т.к. на атаках, що використовують введення капчі автоматично, вони можуть заробити ще більше.

Так що у разі використання сервісів розпізнавання мовлення та зображень для злому капчі надія залишається тільки на пильність їхньої адміністрації, яка може заблокувати обліковий запис, якщо виявить, що він використовується виключно в описаних цілях.

Як пройти капчу, використовуючи людську працю

На завершення списку способів обходу капчі я вирішив розглянути ні до однієї з перерахованих вище категорій.

Він не заснований на використанні уразливостей реалізацій CAPTCHA та застосуванні сучасних технологій, а базується на природному людському бажанні заробляти гроші.

І в той же час, даний спосібдопомагає зламати капчу будь-якої складності у 100% випадках і, до того ж, зробити це без особливих фінансових, фізичних та моральних зусиль.

Йдеться про одне з сучасних способіввидобутку грошей — , який з'явився, до речі, приблизно тоді, коли CAPTCHA стала програмно, що складно розпізнається.

Його суть у тому, що створюється спеціальний сервіс, який нібито дозволяє людям заробляти гроші (переважно невеликі, яких може вистачити хіба що індусам чи школярам, ​​які шукають будь-які способи роздобути гроші), вирішуючи вручну капчі.

А надавати ці капчі можуть усі бажаючі, кому потрібні їхні рішення.

В основному це хакери, які використовують відповіді реальних користувачів у своїх корисливих цілях:

• автоматизації заробітку;
• розсилання спаму;
• скупка квитків та товарів в Інтернет магазинах для більш дорогого перепродажу;
• зламування сайтів і т.д.

Для зручнішого процесу послуги навіть надають API, завдяки якому проходження капчі може здійснюватися в онлайн-режимі. Тобто. користувач вводить капчу через сервіс, а в цей час його відповідь використовується для підтвердження онлайн-покупки.

Багато умільців у галузі програмування, до речі, можуть використовувати людську працю абсолютно безкоштовно. Наприклад, так заробляють собі на хліб власники порносайтів, файлообмінників, торентів та інших сумнівних ресурсів, які надають безкоштовні послуги.

Вони, нібито безкоштовно, надають користувачам цінний контент, вимагаючи від нас дрібниці — підтвердити, що ви є людиною, а не роботом, за допомогою якого зловмисники користуються їхньою продукцією у своїх цілях.

Звичайно, ми довго не думаємо, т.к. отримати можливість скачати довгоочікуваний фільм у HD якості абсолютно безкоштовно за проставлення якоїсь галочки в полі «Я не робот» - це дрібниця. А в цей час ваша дія з API використовується для обходу капчі на іншому сторонньому сайті.

Звідси мораль: завжди пам'ятайте, що безкоштовний сиртільки в мишоловці і нічого безкоштовного не буває.

Захист:на жаль, сьогодні це самий ефективний методобходу капчі, від якого немає засобів захисту. І не буде доти, доки не переведуться охочі заробляти копійки каторжною працею та любителі безкоштовного контенту, тобто швидше за все — ніколи.

Обхід капчі - висновки

У ході написання цієї статті я дійшов висновку, що капча, незважаючи на відмінну ідею, з якою вона замислювалася, а саме захист сайтів від роботів, вже давно перестала виконувати свої функції.

Якщо від автоматизованих обходів капчі, які використовують слабкі місця реалізацій CAPTCHA, ще можна вберегтися, усунувши всі проблеми з їх безпекою, то від введення капчі реальними користувачами за гроші захиститися просто неможливо.

У всій цій ситуації рятує тільки те, що за подібну роботу платять смішні гроші і мало хто на це погоджується, тому масштаби кібератак з використанням автоматичного введення капчі не такі катастрофічні, як могли б бути.

Також до «непереможних» способів обходу капчі відносяться технології штучного інтелекту, що активно розвиваються останніми роками.

При цьому, з метою ускладнити життя хакерам, капчі постійно «роздмухуються» новим функціоналом, через який їхнє проходження стає складним та стомлюючим завданням навіть для реальних користувачів сайтів.

Згадати ту ж таки Google reCAPTCHA: постав галочку, якщо Гуглу щось не сподобалося, вибери ще й потрібні картинки (з дорожніми знаками, до речі, у мене досі спостерігаються проблеми, тому що я можу пройти таке завдання десь з 5 спроби). Чи не багато метушні для того, щоб залишити коментар або зареєструватися на сайті? Простіше вже знайти інший ресурс.

Але, незважаючи на ці запобіжні заходи, капчу на даний момент не можна назвати бездоганним способом захисту від роботів, за що її багато хто критикує і намагається шукати їй альтернативи.

В той же час той факт, що CAPTCHA продовжує використовуватися як технологія кіберзахисту і постійно розвивається, у тому числі компанією Google, яка не стане інвестувати гроші в сумнівні проекти, говорить про те, що дана технологіяіснуватиме ще довго.

Тому при розробці та підтримці існуючих сайтів, що використовують капчу, необхідно активно використовувати викладені рекомендації, щоб максимально ускладнити життя хакерам для їхнього програмного злому.

І не забувати ділитися своїми міркуваннями щодо існуючих способівобходу капчі та заходів захисту від них у коментарях під статтею 🙂

P.S.: якщо вам потрібен сайт або необхідно внести редагування на існуючий, але для цього немає часу та бажання, можу запропонувати свої послуги.

Понад 5 років досвідупрофесійної розробки сайтів Робота з PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angularта іншими технологіями web-розробки.

Досвід розробки проектів різного рівня: лендінги, корпоративні сайти, Інтернет магазини, CRM, портали. В тому числі підтримка та розробка HighLoad проектів. Надсилайте ваші заявки на email [email protected].

CAPTCHA: люди проти комп'ютерів

На деяких веб-сайтах ви могли помітити, що не можете продовжувати виконувати будь-які дії або виконувати замовлення доти, доки не розгадаєте набір незрозумілих літер та зображень. Після того, як Ви уважно розгляньте якісь хвилясті лінії, розшифруєте написані слова та введете вірну фразу (слова чи цифри) у порожнє поле, то зможете продовжити Ваші дії на сайті. Цей процес призначений для того, щоб сайт міг переконатися, що насправді Ви – людина, яка переглядає сайт.

Такий тест називається CAPTCHA(Completely Automated Public Turing Test для Tell Humans and Computers Apart), і він використовується в Інтернеті повсюдно. Веб-сайт з продажу квитків Ticketmaster – це чудовий приклад використання CAPTCHA: без такого тесту «робот» потенційно міг би купити мільйони квитків на якийсь концерт чи захід, а після цього перепродати їх за вищою ціною.

Безумовно, вимога розгадати незрозуміло написану комбінацію літер та цифр щоразу, коли ми хочемо щось зробити, трохи напружує. І це потребує додаткового часу. Щоразу, коли потрібно пройти тест CAPTCHA, Ви витрачаєте приблизно 10 секунд Вашого життя. Ось чому CAPTCHA запрацювала погану репутаціюсеред Інтернет-користувачів, незважаючи на те, що він був створений саме для забезпечення нашої безпеки.

CAPTCHA заважає кібер-злочинцям

Луїс Фон Ан, один із творців CAPTCHA, продовжує розвивати цей тест вже в рамках Google, його нового розробника. Цей проект був відроджений у reCAPTCHA, розширення тесту Captcha, який бере слова з відсканованих сторінок старих книг (такі слова комп'ютеру складніше розпізнати). Захищаючи нашу безпеку, проект одночасно допомагає. оцифровувати тексти, анотації до зображень, та будувати набори даних для машинного навчання»… тепер хоча б ці 10 дорогоцінних секунд використовуються для чогось більшого.

Здорово, що ми допомагаємо оцифровувати книги, але коли йдеться про Інтернет-безпеку, але Чи ефективна CAPTCHA?

Можна легко обійти Google CAPTCHA

Тріо дослідників з Університету Колумбія (Нью-Йорк) довели, як легко можна обійти деякі CAPTCHA. Подібні програми значно ускладнюють хакерам використовувати запрограмовані боти для автоматичного та масового збору адрес електронної пошти, які потім використовуються для спамових кампаній. Але вони є абсолютно надійними.Такі процеси можуть бути автоматизовані, а тому комп'ютери зможуть проходити тести reCAPTCHA також ефективно, як ми з Вами.

Інструкція з правильного розпізнавання капч на сервісі сайту

ReCaptcha V2 New
Дуже популярна останнім часом, являє собою 9 міні-картинок, з яких потрібно вибрати 2-4 задані картинки. Які малюнки необхідно вибрати вказується або зразком картинки, або текстом. У відповідь на таку капчу потрібно ввести номери картинок, які потрібно вибрати. Номери вводяться без прогалин, без ком. Якщо на самих картинках немає номерів, то вони вважаються ліворуч, зверху вниз. Ось так:
1 2 3
4 5 6
7 8 9

капча	правильний відповідь	опис
	13	праворуч зображений зразок, капуста. На картинках під номерами 1 та 3 ми бачимо капусту. У відповідь на капчу пишемо 13
	58	Справа тарілка зі спагетті. Цій картинці відповідають картинки під номерами 5 і 8. На картинці під номер 3 те ж макарони, але равіолі, а не спагетті.
	239	Зразка немає, тільки текст, на якому написано, які малюнки потрібно вибрати. Самі картинки не пронумеровані, так що користуємося вище інструкцією, щоб зрозуміти який картинці відповідає правильний номер
	45	Можна спочатку подумати, що правильна відповідь 47. Але на 7 картинці не вказівник, а просто вивіска. І залишається тільки 4-я картинка. Але має бути мінімум 2 відповідних зображення. Придивляємося уважніше і бачимо на 5-му ізоборажі покажчик, сфотографований зі зворотного боку. правильна відповідь 45
	159
	456	Інструкція тільки на англійською, але зліва дана картинка, що пояснює, що потрібно вибирати дорожні знаки.
	18	На наведеному зразку – яйця. Вони ж на картинках 1 та 8, хоч вони вже й очищені та розрізані. Правильна відповідь - 18
	25	На наведеному зразку – пиріг. На картинках 2 та 5 бачимо пироги і відповідаємо 25.
	12	Вебмайстер, який надіслав капчу, за своїм принципом пронумерував зображення. У цьому прикладі користуємося його нумерацією і вказуємо, що потрібно вибрати 1 і 2 зображення
	356	Цей вебмастер у правильному порядку нумерує картинки, але почав нумерацію не з одиниці, а з нуля.

ReCaptcha v2 з дорожніми знаками та вказівниками вулиць

Особливу увагу приділимо капчам, на яких зображені дорожні знаки чи вказівники вулиць. Вказівник вулиці це не дорожній знак.

капча	правильний відповідь	опис
	1239	Street name = вказівники вулиць Вулиці завжди написані білим на зеленому тлі в один рядок. На зображенні 7 дорожній покажчик.
	1348	Тут все просто
	78	Street signs = дорожні знаки На цій капчі все просто
	278	На зображенні #7 укзатель знаходиться не на стовпі, як звичайні покажчики, а на відбійнику. Проте це дорожній покажчик.
	36	Знак автобусної зупинки це також дорожній вказівник
	1248	Будьте уважні, на цій капчі нас просять вказати вказівники вулиць.
	2479	На зображенні №1 вказівник, а чи не ім'я вулиці.
	1236	На зображенні №5 вказівник, а чи не ім'я вулиці. На зображенні №2 не видно назву вулиці, але можна вгадати, що вона там є.

SolveMedia
У цій капчі зустрічаються стандартні невеликі фрази англійською мовою, що допомагає швидше їх вводити та вивчати англійську.

капча	правильний відповідь	опис
	video tape	проста капча, вводиться без проблем
	what if?	Зверніть увагу - розділові знаки теж потрібно вводити
	When, where?	І кому і знак питання потрібно вказувати у відповіді
	i like people	У слові LIKE першу букву складно розібрати, але якщо дивитися на всю фразу цілком легко зрозуміти що там за буква. I like people - я люблю людей
	rooftop	Можна подумати, що перша літера в цій капчі - P і до неї просто приклеїлися дві палички. Але слова POOFTOP не існує, а ROOFTOP це щось, що встановлено на даху. Адже мало хто знає всі ці слова, помилитися дуже легко.
	перша post!	Перша буква прихована, але дивлячись на слово цілком можна здогадатися що там написано FIRST
		Але іноді трапляються такі, які зовсім не розібрати. У такому разі потрібно натиснути "не можу розібрати"

Інші види капч

капча	правильний відповідь	опис

Вітаю вас, любі друзі! Всі ми є активними користувачами соціальних мереж – одні використовують їх для спілкування та пошуку інформації, інші намагаються використовувати ці майданчики. для заробітку. Однак, незалежно від того, які цілі переслідує кожен з нас, заходячи в соцмережу, всім нам так чи інакше так доводиться стикатися з такою неприємною річчю, як капча. Погодьтеся, іноді цей набір символів настільки заважає працювати, що хочеться все кинути та просто закрити браузер. Сьогодні ми поговоримо про те, як прибрати капчу і позбавити себе від необхідності витрачати час на розшифровку кодів.

Капча: що це?

Отже, капча- це ні що інше, як спеціальна картинка, що містить перевірочний код для визначення того, хто саме намагається вчинити певну дію в мережі - людина або робот. Найчастіше розшифрувати код пропонують у випадках, коли відбувається багаторазове виконання однієї й тієї ж запиту сервісі. Наприклад, пошукові системи на кшталт Яндекса або Гугла регулярно пропонують нам розшифрувати captcha, коли ми ставимо їм ті самі питання. Не можна назвати капчу рідкісним гостем і серед скриптів: парсерів, клікерів, постерів тощо.

Головне завдання captcha – запобігання автоматичній дії роботів. Щоб відсіяти роботів, послуги пропонують користувачам розгадати код, зашифрований у витіюваному малюнку. Впоратися з метою здатні лише реальні користувачі, боти, на жаль, робити це не вміють. Саме тому при роботі зі скриптами капча стає справжньою проблемою, яка не дозволяє взаємодіяти з великим обсягом даних. Однак, не варто зневірятися і опускати руки. Будь-яка проблема можна вирішити, та введення captcha – не виняток.

Чому виникає captcha?

Як відомо, для того, щоб позбавитися хвороби, потрібно знати причину її виникнення. Це правило працює і у випадку з капчею: щоб позбутися вікон із зашифрованим кодом, що постійно спливають, нам необхідно зрозуміти, чомусистема так завзято намагається перевірити нас на «людяність».

Вся річ у тому, що однакові дії, що виконуються одне за одним, викликають у сайтів підозри. Тому вони прагнуть відсіяти серед них ті, що виконуються роботами.

Наприклад, ваша спроба розіслати своїм друзям повідомлення, що містять ту саму інформацію, розцінюється соціальною мережею як спам-розсилка. Саме тому вконтакте вимагає від нас виконати розпізнавання капчі та підтвердити, що ця дія була виконана живою людиною. Якщо розповсюдження повідомлень не припиниться, система може навіть тимчасово заблокувати ваш обліковий запис.

Доводиться стикатися зі спливаючими вікнами і в тих випадках, коли система захисту соцмережі вирішує перевірити, чи використовуєте ви якісь заборонені або просування власної сторінки. В даному випадку йдеться про спеціальні софтини, які можуть робити автоматичне накрутку лайків, розсилку запрошень у друзі і так далі. До таких програм відносяться і популярні і sobot , які активно використовуються для створення популярних спільнот та пабликів. Тільки уявіть собі, яким би смітником став вконтакте, якби не відсівав злом, рекламу та розсилку спаму!

Розкрути сторінки та паблики VK за допомогою Brobot

Вчимося прибирати captcha

Упевнений, що більшість із вас зараз серйозно спантеличилися тим, як обійти капчу в контакті. На жаль, проігнорувати введення коду на сьогоднішній день неможливо. Технології, що здійснюють захист сервісу за допомогою розшифровки набору символів, є обов'язковим заходом безпеки. соціальної мережіВи не можете приховати або просто прибрати.

Все, що ви можете зробити для того, щоб скоротити частоту зустрічей з нав'язливим кодом, це надати вконтакті максимальну інформацію про себе, заповнивши відповідні поля в анкеті користувача. Чим «людськішою» буде ваша сторінка, тим рідше вам доведеться робити розпізнавання captcha. Подбайте про те, щоб ваша сторінка у соціальній мережі була прив'язана до електронній поштіта до реального номеру мобільного.

Налаштування профілю вк

Щоб убезпечити себе від можливого злому сторінки вконтакте, я рекомендував би відвідати вкладку « Безпека», яка знаходиться в розділі « Мої налаштування». Тут ви зможете підключити найбільш сильну та надійну систему захисту, у вигляді смс-кодів підтвердження, що приходять на вказаний вами мобільний телефон. Крім того, хочу звернути вашу увагу на поле. Історія активності».

У випадку, якщо ваш обліковий запис опиниться в руках шахраїв, то ви дізнаєтеся про це, перевіривши « Історію активності». Якщо в списку адрес ви знайдете сторонні IP і браузери, якими ви ніколи не користувалися, це означає, що ваш обліковий запис був зламаний і, цілком імовірно, був використаний для спам-розсилки. Щоб виправити ситуацію, вам слід « Завершити всі сеанси» крім поточного, в якому ви знаходитесь, а потім змінити парольдоступу до свого профілю.

Що ж до того, як прибрати капчу зовсім, то тут вам не залишається нічого іншого, як розгадати зашифрований набір символом і ввести його в спеціальне поле, розташоване поруч із картинкою. Погодьтеся, що далеко не завжди ми маємо можливість в режимі реального часу розпізнавати captcha. Особливо це проблематично у випадках, коли ми запускаємо скрипт і виконуємо роботу великими обсягами. Як тільки пошукові системи помітять численні запити, ми відразу почнемо розбиратися з капчами, що вискакують знову і знову.

Така проблема дуже близька веб-майстрам і тим, хто веде активну роботу з постерами, спамерами та іншими автоматизованими програмами. Щоб позбавитися настирливих кодів, які заважають вашій роботі, ви можете скористатися за допомогою сервісів розпізнавання капч.

Популярні сервіси автоматичного розпізнавання капчі

Сьогодні в інтернеті можна знайти безліч сайтів, які пропонують свої послуги із введення капчі за гроші. Одними з найпопулярніших у сегменті рунету є сервіси rucaptcha та anti-captcha. Пропоную детальніше розібрати кожен з них:

1. anti-captcha – багато хто знає цей сайт як антигейт капча. Сервіс стабільно працює протягом 10 років. Тут за автовведення капчі доводиться платити в доларах. Кожна тисяча розгаданих кодів коштуватиме вам 40 центів. Про те, як працювати з цим сайтом, дізнаєтеся трохи згодом
2. rucaptcha – популярний сервісде розгадування капчі проводиться вручну. З його допомогою ви можете забезпечити автоматичне введення капчі на своїх проектах. Щоб це зробити, необхідно мати спеціальний ключ, який надходитиме через сервіс до реальних людей, що працюють на сайті, для його подальшого розпізнавання. Вартість такої послуги становить лише 40 рублів за кожну розгадану тисячу картинок. Принцип роботи сервісу досить простий: реальні люди реєструються на сайті та забезпечують себе. Тобто протягом доби на сайт приходять все нові і нові замовлення на розшифровку кодів, а звичайні користувачі інтернету розгадують їх і отримують за цю грошову винагороду.

Використовуй топовий сервіс anti-captcha

Розшифровуємо капчі з anti-captcha.com: інструкція по роботі з сервісом

Щоб раз і назавжди позбавити себе від набридливих спливаючих картинок із зашифрованими символами, просто скористайтесь наступною інструкцією по роботі з сервісом анти-капчі:

• Зареєструйтесь на сайті
  
• Поповніть баланс свого рахунку. На 2-3 тижні активної та плідної роботи вам буде цілком достатньо і 5 доларів
• Збережіть згенерований для вас ключі скопіюйте його в свої послуги парсингу та накрутки
  
• Коли сума на вашому балансі наближатиметься до позначки «нуль», знову поповніть свій рахунок
  

У яких випадках не обійтись без ключів обходу капчі?

Багато користувачів заборонених програм наївно вважають, що їм не потрібно скористатися сервісами для розпізнавання капчі. Тим не менш, існує ряд програм, експлуатація яких буде просто неможливою без розпізнавання captcha. До таких можна сміливо віднести:

Як можна заробити на розпізнаванні captcha?

Багатьом новачкам цікаво, як реально заробити на введенні капчі. Можу сказати, що тут все залежить від того, скільки часу приділятиметься розшифровці кодів. За великим рахунком, роботу на сервісах антикапчі не можна назвати основним видом діяльності. Навіть якщо ви весь день проведете за комп'ютером, безперервно розшифровуватимете одну капчу за іншою, то максимум, що вам вдасться заробити, — це 2-3 долари. Погодьтеся, це зовсім не ті гроші, на які ви можете прожити цілий місяць. Однак, ви цілком можете використовувати цю діяльність як підробітки. Тих грошей, що ви заробите, вистачить для оплати інтернету або поповнення рахунку мобільного.

Безпрограшним варіантом збільшення заробітку на сайтах з розпізнавання капчі стане участь у партнерських програмахсервісів. Якщо ви маєте досвід у просуванні реферальних посилань, то ви можете зробити майданчики антикапчі джерелом отримання пасивного доходу. Все, що від вас вимагається, - залучити до роботи на сервісах нових користувачів, які розшифровуватимуть коди, та отримуватимуть свої реферійні відрахування. Більш детальну інформацію про те, як відбувається заробіток на партнерських програмах, ви можете дізнатись у моїй окремій статті.

Висновки

На завершення сьогоднішнього огляду хочу зазначити, що послуги автоматичного введення капчі - це незамінні помічникивсіх вебмайстрів. Якщо ви досі витрачаєте багато часу на самостійну розшифровку captcha, ваша робота раз у раз паралізується новими кодами, вам просто необхідно довірити розшифровку символів спеціалізованим майданчикам. У коментарях під цією посадою я прошу вас залишати свої відгукипро послуги антикапчі, з якими вам доводилося працювати. Діліться своїми враженнями та не забувайте підписуватись на оновлення блогу. До зустрічі!

Якщо ви знайшли помилку в тексті, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter. Дякуємо за те, що допомагаєте моєму блогу ставати краще!

Капча (CAPTCHA), що вимагає довести, що «Я не робот», з'являється на все більшій кількості сайтів та сервісів, і дратує користувачів. Є кілька причин, через які сайти приймають відвідувачів за роботів і вимагають введення перевірочних символів. Чи можна позбутися повторюваної перевірки, що потрібно змінити в налаштуваннях браузера та сторінці у Вконтакте, як обійти капчу за допомогою VPN-сервісів?

Що таке капча?

CAPTCHA - автоматизований публічний тест Тюрінга. Він дозволяє визначити робота серед відвідувачів сайтів. Механізм захисту веб-сервісів від спаму розробила в 2000 команда університету Карнегі - Меллон. Ідея тесту полягає в тому, що запропоноване завдання легко виконується людьми, але недоступне для машин.

Найчастіше користувачам потрібно ввести символи з зображення. Вони зображені з перешкодами або напівпрозорі, щоб машина не могла їх розпізнати. Спочатку система добре працювала, знизила навантаження на сайти, позбавила їх фальшивих коментарів.

Через сім років після створення тесту Тюрінга з'явилася модифікація – reCAPTCHA. Людям запропонували розпізнавати слова відсканованих випусків газети The New York Times. Захист від спаму одночасно допомагав оцифровувати видання.

Але комп'ютери ставали все сильнішими і стали здатні розпізнати символи. Тому з'явилися інші варіанти: пошук кішок, дорожніх знаків на картинках або галочка напроти фрази "Я не робот".

Корисний для адміністрації сайтів тест почав дратувати користувачів. Іноді доводиться вводити капчу кілька разів, щоб побачити якусь сторінку. Окремою проблемою стає капча у ВКонтакті.

Існує кілька причин, через які користувачеві доводиться постійно доводити, що він не робот. Навіть якщо людина не спамить, а просто залишає коментарі або спілкується в соцмережах, її може переслідувати введення символів.

Підозрювальний трафік з комп'ютера.Розширення браузера чи віруси на пристрої користувача можуть стати частиною мережі роботів. За це reCAPTCHA блокує його IP-адресу.

Погана компанія.Провайдери виділяють для групи абонентів одну реальну IP. Тому якщо один із них бот, його блокують, і вся група потрапляє до чорного списку.

Вимкнення JavaScript на смартфоні.Механізм reCAPTCHA - код JavaScript на сайті. Кодами користуються не лише сервіси, а й шахраї, тому у смартфонах для безпеки у браузерах відключено JavaScript. Це призводить до того, що reCAPTCHA працює зі збоями.

Як позбудеться капчі

Зміна настройок

Користувачі Google Chromeможуть позбутися надокучливого захисту, відключивши ряд розширень. Розширення AdBlock або плагін RDS Bar, що блокує рекламу, часто призводять до появи капчі.

Ще один варіант для комп'ютерів – заново підключитися до інтернету. Після перезавантаження модему або роутера користувач може отримати нову зовнішню адресу, і позбавитися настирливої ​​перевірки.

Власники iPhone можуть у розділі налаштувань Safari відкрити вкладку «Додатки» та увімкнути JavaScript. Користувачам Androidв Chrome, потрібно натиснути на меню з трьома точками, перейти в "Налаштування", відкрити "Налаштування сайтів" і активувати JavaScript. Ще один варіант для мобільних - ненадовго включити авіарежим, після якого смартфон перереєструють в мережі, і зможе отримати чистий IP.

Позбутися капчі «ВКонтакті» можна за кілька хвилин. У налаштуваннях сторінки треба перейти до розділу «Безпека», натиснути на «Показати історію активності». Вікно покаже історію відвідувань сайту та IP, з якого здійснювався вхід.

Якщо у списку адрес, який відрізняється від адреси користувача, натисніть «Завершити всі сеанси». А потім змінити пароль. Крім того, капча з'являється рідше, якщо сторінка прив'язана до телефонного номера.

Спеціальні послуги

Якщо капчу вводити ліньки навіть рідко, це за плату зроблять інші користувачі. На спеціалізованих веб-сервісах візьмуть приблизно 40 рублів за розгадування тисяч картинок. Користувач же отримає спеціальний ключ, що дозволяє йому забути про набридливий тест.

Динамічний IP

Якщо чаклунство з налаштуваннями не допомогло, доведеться скористатися сервісами VPN. Великі компанії надають цю послугу платно. Але є і безкоштовні сервісиз гарним інтерфейсом та зручні в експлуатації. Наприклад, програма CyberGhost VPN().

Сервіс працює з усіма популярними браузерами, добре захищений завдяки протоколу OpenVPN з 256-бітним шифруванням AES. Можна запускати безкоштовно лише на одному пристрої. Користувач отримає доступ до 37 серверів у 12 країнах, працює без перерви близько трьох годин, після цього треба знову підключити та продовжити роботу.