محققین در هیئت سخنرانی کنفرانس RSA 2021 پیرامون حملات وبی و کلاهبرداری آنلاین صبحت کردند. در این سخنرانی به درسهایی که از مطالعات تاکتیکهای مجرمان سایبری گرفته شده و حملاتی که روی سازمانهای بزرگ صورت گرفته پرداخته شد. یکی از سخنرانها دان وودز، مدیر اسبق اجرای قانون از تجربه آموزش خود بعنوان یک کارگر مزرعه کپچا گفت. کار پرفشار و کمدرآمدی بود (روزی 3 دلار) اما نکتهای که وودز بدان اشاره داشت این بود که CAPTCHA دیگر با اهدافش جور درنمیآمد.اگر بخواهیم کلی صحبت کنیم، چنانچه رابطی برای انسان طراحی شده باشد برای دسترسی بدان به ربان نیازی نیست. برنامهها از طریق APLها با هم در ارتباط هستند و نه رابطها. رباتی که در تلاش است به منبع آنلاین یا سرویسی از طریق رابط کاربری دسترسی پیدا کند به احتمال زیاد میشود آن را بخشی از اقدام به اکسپویت قلمداد کرد. برای سالها، کپچا –مکانیزمی برای تشخیص کاربران انسان از کامپیوترها- یک تنه به جنگ رباتهای غیرقانونی رفته است. بسیاری از خدمات از جمله سیستمهای آنلاین بانکی و برنامههای وفاداری مشتری هنوز از آن استفاده میکنند؛ اما آیا میشود هنوز هم به CAPTCHA اعتماد کرد؟
مزرعه کلیک چیست؟
مزرعه کلیک به المان انسانی کلاهبرداری کلیک اشاره دارد: بسیاری از افرادی که روی آگهیهایی کلیک میکنند که به ازای هر کلیک پول میدهند یا امتیاز سرچ صفحات وب را بالا میبرند یا تعداد لایک، ویو، رأی یا سایر معیارها را افزایش میدهند. رباتها قبلتر کار کلیک را انجام میدادند اما استفاده از الگوریتمهای ضدکلاهبداری باعث شده اسکمرها افراد واقعی را هم وارد این ماجرا کنند. برخی از مزرعههای کلیک –مثل همان که وودز را استخدام کرده بود- تخصشان در خدمات کپچاست و باتهایی را کنترل میکنند که با مسائل تأییدیه روبرو هستند. کار یک کارگر مزرعه CAPTCHA اجرای اموریست که برای یک فرد ساده است اما برای یک دستگاه به طور عجیبی پیچیده. ممکن است عکسهایی را با یک شیر آتشنشانی انتخاب کنند، توالی بهمریختهی یک سری حروف را رمزگشایی کرده، یک معادله ریاضی بسیار ساده را حل نموده یا کلی کارهای مشابه دیگر را انجام دهند. شاید نمونههای زیادی با تم زیر دیده باشید:
آیا به CAPTCHA نیاز است؟
کاربران هرگز به طور خاص طرفدار مکانیزم کپچا نبودهاند. همیشه جایی برای خطا در این ساز و کار بوده است: کلیک تصادفی روی تصویری اشتباه، از قلم افتادن یک شیر آتشنشانی در پسزمینه، جا افتادن یک کاراکتر در دسته اعداد یا حروف. حتی اگر همهچیز هم درست پیش رود، پروسه کپچا تجربه کاربری منفی دارد؛ بدینمعنا که جریان تجربه کاربری را برهم زده و از کارایی آن میکاهد. همچنین مزرعههای CAPTCHA ابزارهای انحصاری اسکمرها با محوریت کپچا نیستند. برخی برای مثال هنوز در تلاشند تا هوش مصنوعی را قادر به حل چنین معماهایی بکنند. مکانیزمهای کپچا هر چقدر هم که نقص داشته باشند باز هم یک لایه محافظتی ارائه میدهند؛ پس استفاده از آنها به نظر معقول میآید. اما همیشه همهچیز به این راحتیها هم نیست.
جایگزینهای CAPTCHA
کپچا دیگر به طور امنی در مقابل مهجمین نمیایستد و درست همین مهاجمینند که دارند کاربران واقعی را به دردسر میاندازند. خلاصه بگوییم که وقت آن رسیده این ساز و کار قدیمی و از مد افتاده را ترک کنیم. اما خوشبختانه کپچاها تنها ابزارهای اتوماسیون برای تعیین انسان و ماشین در دسترسی به سیستم نیستند. گزینهی بهتر، Kaspersky Fraud Prevention‘s Advanced Authentication است که مراحل غیرضروری احراز هویت را کاهش میدهد و تجربه کاربری یکپارچهای را ارائه میدهد. به لطف فناوریهای یادگیری ماشین، Advanced Authentication از تحلیل رفتار کاربر، شاخصهای منفعل بیومتریک، دادههایی در خصوص دستگاهی که از آن فرد اقدام به درخواست احراز هویت کرده، محیطشان و خیلی چیزهای دیگر استفاده میکند تا در نهایت سریع و درست تصمیم بگیرد آیا به کاربر اجازه لاگین بدهد یا تأیید اضافهای از او بگیرد و یا دسترسیاش را محدود سازد. این فناوری به دقت تعیین میکند آیا سرویس هماکنون در دسترس یک انسان قرار گرفته یا یک ماشین.
