امنیت

روحت شاد CAPTCHA

محققین در هیئت سخنرانی کنفرانس RSA 2021 پیرامون حملات وبی و کلاهبرداری آنلاین صبحت کردند. در این سخنرانی به درس‌هایی که از مطالعات تاکتیک‌های مجرمان سایبری گرفته شده و حملاتی که روی سازمان‌های بزرگ صورت گرفته پرداخته شد. یکی از سخنران‌ها دان وودز، مدیر اسبق اجرای قانون از تجربه آموزش خود بعنوان یک کارگر مزرعه کپچا گفت. کار پرفشار و کم‌درآمدی بود (روزی 3 دلار) اما نکته‌ای که وودز بدان اشاره داشت این بود که CAPTCHA دیگر با اهدافش جور درنمی‌آمد.اگر بخواهیم کلی صحبت کنیم، چنانچه رابطی برای انسان طراحی شده باشد برای دسترسی بدان به ربان نیازی نیست. برنامه‌ها از طریق APLها با هم در ارتباط هستند و نه رابط‌ها. رباتی که در تلاش است به منبع آنلاین یا سرویسی از طریق رابط کاربری دسترسی پیدا کند به احتمال زیاد می‌شود آن را بخشی از اقدام به اکسپویت قلمداد کرد. برای سا‌ل‌ها، کپچا –مکانیزمی برای تشخیص کاربران انسان از کامپیوترها- یک تنه به جنگ ربات‌های غیرقانونی رفته است. بسیاری از خدمات از جمله سیستم‌های آنلاین بانکی و برنامه‌های وفاداری مشتری هنوز از آن استفاده می‌کنند؛ اما آیا می‌شود هنوز هم به CAPTCHA  اعتماد کرد؟

مزرعه کلیک چیست؟

مزرعه کلیک به المان انسانی کلاهبرداری کلیک اشاره دارد: بسیاری از افرادی که روی آگهی‌هایی کلیک می‌کنند که به ازای هر کلیک پول می‌دهند یا امتیاز سرچ صفحات وب را بالا می‌برند یا تعداد لایک، ویو، رأی یا سایر معیارها را افزایش می‌دهند. ربات‌ها قبل‌تر کار کلیک را انجام می‌دادند اما استفاده از الگوریتم‌های ضدکلاهبداری باعث شده اسکمرها افراد واقعی را هم وارد این ماجرا کنند. برخی از مزرعه‌های کلیک –مثل همان که وودز را استخدام کرده بود- تخصشان در خدمات کپچاست و بات‌هایی را کنترل می‌کنند که با مسائل تأییدیه روبرو هستند. کار یک کارگر مزرعه CAPTCHA اجرای اموریست که برای یک فرد ساده است اما برای یک دستگاه به طور عجیبی پیچیده. ممکن است عکس‌هایی را با یک شیر آتش‌نشانی انتخاب کنند، توالی بهم‌ریخته‌ی یک سری حروف را رمزگشایی کرده، یک معادله ریاضی بسیار ساده را حل نموده یا کلی کارهای مشابه دیگر را انجام دهند. شاید نمونه‌های زیادی با تم زیر دیده باشید:

آیا به CAPTCHA نیاز است؟

آیا به CAPTCHA نیاز است؟

میزبان هاست سوشال

کاربران هرگز به طور خاص طرفدار مکانیزم کپچا نبوده‌اند. همیشه جایی برای خطا در این ساز و کار بوده است: کلیک تصادفی روی تصویری اشتباه، از قلم افتادن یک شیر آتش‌نشانی در پس‌زمینه، جا افتادن یک کاراکتر در دسته اعداد یا حروف. حتی اگر همه‌چیز هم درست پیش رود، پروسه کپچا تجربه کاربری منفی دارد؛ بدین‌معنا که جریان تجربه کاربری را برهم زده و از کارایی آن می‌کاهد. همچنین مزرعه‌های CAPTCHA ابزارهای انحصاری اسکمرها با محوریت کپچا نیستند. برخی برای مثال هنوز در تلاشند تا هوش مصنوعی را قادر به حل چنین معماهایی بکنند. مکانیزم‌های کپچا هر چقدر هم که نقص داشته باشند باز هم یک لایه محافظتی ارائه می‌دهند؛ پس استفاده از آن‌ها به نظر معقول می‌آید. اما همیشه همه‌چیز به این راحتی‌ها هم نیست.

جایگزین‌های CAPTCHA

کپچا دیگر به طور امنی در مقابل مهجمین نمی‌ایستد و درست همین مهاجمینند که دارند کاربران واقعی را به دردسر می‌اندازند. خلاصه بگوییم که وقت آن رسیده این ساز و کار قدیمی و از مد افتاده را ترک کنیم. اما خوشبختانه کپچاها تنها ابزارهای اتوماسیون برای تعیین انسان و ماشین در دسترسی به سیستم نیستند. گزینه‌ی بهتر، Kaspersky Fraud Prevention‘s Advanced Authentication است که مراحل غیرضروری احراز هویت را کاهش می‌دهد و تجربه کاربری یکپارچه‌ای را ارائه می‌دهد. به لطف فناوری‌های یادگیری ماشین،  Advanced Authentication از تحلیل رفتار کاربر، شاخص‌های منفعل بیومتریک، داده‌هایی در خصوص دستگاهی که از آن فرد اقدام به درخواست احراز هویت کرده، محیطشان و خیلی چیزهای دیگر استفاده می‌کند تا در نهایت سریع و درست تصمیم بگیرد آیا به کاربر اجازه لاگین بدهد یا تأیید اضافه‌ای از او بگیرد و یا دسترسی‌اش را محدود سازد. این فناوری به دقت تعیین می‌کند آیا سرویس هم‌اکنون در دسترس یک انسان قرار گرفته یا یک ماشین.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 4.4 ( 1 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا