Les experts en cybersécurité mettent en garde contre la disponibilité de services de cassage de CAPTCHA qui contournent les systèmes de sécurité conçus pour différencier les utilisateurs légitimes du trafic de robots.

Selon un rapport récent de Trend Micro, la demande de services spécialement conçus pour casser les CAPTCHA augmente, car les cybercriminels cherchent activement des moyens de contourner ces mesures de sécurité avec précision.

Ces services de résolution de CAPTCHA ne reposent pas sur la reconnaissance optique de caractères ou sur des techniques avancées d’apprentissage automatique. Au lieu de cela, ils emploient de vrais résolveurs humains pour décrypter les CAPTCHA en leur nom.

CAPTCHA, abréviation de Completely Automated Public Turing Test to Tell Computers and Humans Apart, est un outil permettant de distinguer les utilisateurs humains réels des robots automatisés. Son objectif est de lutter contre le spam et d’empêcher la création de faux comptes. Si les CAPTCHA peuvent parfois gêner les utilisateurs, ils permettent de contrer efficacement le trafic web des robots.

Les services illicites de résolution de CAPTCHA fonctionnent en recevant des demandes de clients et en confiant la tâche de résoudre les CAPTCHA à des résolveurs humains. Ces résolveurs élaborent la solution et renvoient les résultats aux utilisateurs.

À lire également : “Unveiling the Mastermind : Jack” de Roumanie, à l’origine du logiciel malveillant Golden Chickens”.

Ce processus implique d’appeler une API pour soumettre le CAPTCHA et d’utiliser une autre API pour récupérer les résultats. En employant de vrais humains pour résoudre les CAPTCHA, le filtrage du trafic de robots automatisés par ces tests devient inefficace, ce qui permet aux clients des services de cassage de CAPTCHA de développer des outils automatisés pour exploiter les services web en ligne.

En outre, des acteurs de la menace ont été observés en train d’acheter des services de cassage de CAPTCHA et de les combiner avec des offres de proxyware. Cette combinaison leur permet de dissimuler leur adresse IP d’origine et d’échapper aux barrières anti-bots.

Proxyware, présenté comme un outil permettant de partager la largeur de bande Internet inutilisée pour obtenir un revenu passif, transforme les appareils qui l’utilisent en proxys résidentiels.

Dans un cas, un service de cassage de CAPTCHA a ciblé le populaire marché du commerce social Poshmark. Les demandes émanant d’un robot ont été acheminées par l’intermédiaire d’un réseau proxy.

“Les CAPTCHA sont des outils couramment utilisés pour prévenir le spam et l’abus de robots, mais l’utilisation croissante de services de cassage de CAPTCHA a considérablement réduit leur efficacité”, explique le chercheur en sécurité Joey Costoya. “Si les services web en ligne peuvent bloquer les adresses IP abusives, l’augmentation de l’adoption des proxyware rend cette méthode aussi inefficace que les CAPTCHA”.

Pour atténuer ces risques, il est conseillé aux services web en ligne de compléter les CAPTCHA et les listes de blocage IP par des mesures anti-abus supplémentaires.