“Les cybercriminels utilisent des services de cassage de CAPTCHA avec des résolveurs humains pour contourner les mesures de sécurité”.

Reading Time: ( Word Count: )

May 30, 2023
Nextdoorsec-course

Les experts en cybersécurité mettent en garde contre la disponibilité de services de cassage de CAPTCHA qui contournent les systèmes de sécurité conçus pour différencier les utilisateurs légitimes du trafic de robots.

Selon un rapport récent de Trend Micro, la demande de services spécialement conçus pour casser les CAPTCHA augmente, car les cybercriminels cherchent activement des moyens de contourner ces mesures de sécurité avec précision.

Ces services de résolution de CAPTCHA ne reposent pas sur la reconnaissance optique de caractères ou sur des techniques avancées d’apprentissage automatique. Au lieu de cela, ils emploient de vrais résolveurs humains pour décrypter les CAPTCHA en leur nom.

CAPTCHA, abréviation de Completely Automated Public Turing Test to Tell Computers and Humans Apart, est un outil permettant de distinguer les utilisateurs humains réels des robots automatisés. Son objectif est de lutter contre le spam et d’empêcher la création de faux comptes. Si les CAPTCHA peuvent parfois gêner les utilisateurs, ils permettent de contrer efficacement le trafic web des robots.

Les services illicites de résolution de CAPTCHA fonctionnent en recevant des demandes de clients et en confiant la tâche de résoudre les CAPTCHA à des résolveurs humains. Ces résolveurs élaborent la solution et renvoient les résultats aux utilisateurs.

À lire également : “Unveiling the Mastermind : Jack” de Roumanie, à l’origine du logiciel malveillant Golden Chickens”.

CAPTCHA

Ce processus implique d’appeler une API pour soumettre le CAPTCHA et d’utiliser une autre API pour récupérer les résultats. En employant de vrais humains pour résoudre les CAPTCHA, le filtrage du trafic de robots automatisés par ces tests devient inefficace, ce qui permet aux clients des services de cassage de CAPTCHA de développer des outils automatisés pour exploiter les services web en ligne.

En outre, des acteurs de la menace ont été observés en train d’acheter des services de cassage de CAPTCHA et de les combiner avec des offres de proxyware. Cette combinaison leur permet de dissimuler leur adresse IP d’origine et d’échapper aux barrières anti-bots.

Proxyware, présenté comme un outil permettant de partager la largeur de bande Internet inutilisée pour obtenir un revenu passif, transforme les appareils qui l’utilisent en proxys résidentiels.

Dans un cas, un service de cassage de CAPTCHA a ciblé le populaire marché du commerce social Poshmark. Les demandes émanant d’un robot ont été acheminées par l’intermédiaire d’un réseau proxy.

“Les CAPTCHA sont des outils couramment utilisés pour prévenir le spam et l’abus de robots, mais l’utilisation croissante de services de cassage de CAPTCHA a considérablement réduit leur efficacité”, explique le chercheur en sécurité Joey Costoya. “Si les services web en ligne peuvent bloquer les adresses IP abusives, l’augmentation de l’adoption des proxyware rend cette méthode aussi inefficace que les CAPTCHA”.

Pour atténuer ces risques, il est conseillé aux services web en ligne de compléter les CAPTCHA et les listes de blocage IP par des mesures anti-abus supplémentaires.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *