Descanse em Paz, CAPTCHA

Na RSA Conference 2021, pesquisadores falaram sobre as “fazendas de CAPTCHA”

Em um painel de discussão na RSA Conference 2021 sobre ataques na Web e fraudes online, pesquisadores discutiram lições extraídas de estudos de táticas cibercriminosas e ataques a grandes organizações.

Um palestrante, o ex-policial Dan Woods, falou sobre sua experiência em uma fazenda CAPTCHA. O trabalho era intenso e o salário mínimo (cerca de US $ 3 por dia), mas sua principal lição foi que o CAPTCHA não é mais adequado para seu propósito.

De modo geral, se uma interface é criada para humanos, não há jeito de um bot acessá-la. Os programas se comunicam por meio de APIs, não de interfaces de usuário; um bot tentando acessar um recurso ou serviço online por meio de uma interface de usuário é muito provável parte de uma tentativa de golpe.

Por muitos anos o CAPTCHA, mecanismo para distinguir usuários humanos de computadores, travou uma guerra solitária contra bots ilegais. Muitos serviços, incluindo sistemas de banco online e programas de fidelidade, ainda o utilizam. Mas ainda podemos confiar?

O que é click farm (Fazendas de cliques)?

O termo Click farm refere-se ao mecanismo que tem elemento humano na fraude de cliques: muitas pessoas clicando em anúncios que pagam por clique, ou aumentando as classificações de pesquisa de uma página da Web, ou aumentando curtidas, visualizações, votos e outras métricas. Os bots costumavam clicar, mas o uso de algoritmos antifraude levou os golpistas a envolver pessoas reais.
Algumas dessas click farms, como a que o Woods trabalhou, se especializam em serviços CAPTCHA, assumindo o controle de bots que encontram problemas de verificação.

Basicamente, a rotina diária de quem trabalha com um CAPTCHA farm é realizar tarefas que são muito simples para uma pessoa, mas complexas de forma pouco confiável para uma máquina. Eles podem selecionar imagens com um hidrante, decifrar uma sequência distorcida de letras, resolver uma equação aritmética muito simples ou fazer uma série de outras tarefas semelhantes.

Você pode ter visto uma variação sobre o tema desta imagem circulando online:

Meme da Internet sobre robôs e CAPTCHAs

Meme da Internet sobre robôs e CAPTCHAs

 

Bem, não é apenas uma piada.

Você precisa de CAPTCHA?

Os usuários nunca gostaram muito do mecanismo CAPTCHA. Sempre houve espaço para erros comuns: clicar acidentalmente na imagem errada, perder um hidrante escondido no fundo, perder um caractere na confusão de letras e números. Mesmo se nada der errado, o processo é UX negativo – ou seja, ele perturba o fluxo e prejudica a experiência do usuário.

Além disso, as CAPTCHA farms não são apenas ferramentas de golpistas focadas nisso. Algumas, por exemplo, ainda estão tentando criar uma IA capaz de resolver esses enigmas. Por mais imperfeito que seja, os mecanismos CAPTCHA representam mais uma camada de proteção e, portanto, usá-los parece sensato. Mas nada é tão simples.

Alternativas ao CAPTCHA

Os CAPTCHAs não oferecem mais proteção confiável contra intrusos e incomodam os usuários reais. Logo, considerando tudo isso, provavelmente é hora de abandonar esse mecanismo obsoleto.

Felizmente, porém, os CAPTCHAs não são os únicos meios automatizados para determinar se um ser humano ou uma máquina está tentando acessar o sistema. Para obter uma opção melhor, consulte a Autenticação avançada do Kaspersky Fraud Prevention, que elimina etapas de autenticação desnecessárias e cria uma experiência de usuário perfeita.

Graças às tecnologias de machine learning, a Advanced Authentication (Autenticação Avançada), usa ampla análise do comportamento do usuário, indicadores biométricos passivos, dados sobre o dispositivo do qual alguém está solicitando autenticação, seu ambiente e muito mais para decidir rápida e corretamente se permite que o usuário faça login, execute verificação adicional ou acesso restrito. Em seu cerne, a tecnologia determina com precisão se o serviço está sendo acessado por uma pessoa ou uma máquina.

Mais detalhes sobre a solução estão disponíveis aqui

Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.