Loopbaan

Dit is een bijdrage van KnowBe4
Security
Captcha

De schijnveiligheid van captcha’s

Bots worden gehinderd door deze beveiligingsbarrière, maar cybercriminelen niet

8 maart 2021
Door: KnowBe4, partner

Bots worden gehinderd door deze beveiligingsbarrière, maar cybercriminelen niet

Captcha's (Completely Automated Public Turing test to Tell Computers and Humans Apart) zijn kleine online testjes die moeten bepalen of een online actie wordt uitgevoerd door een mens of door een geautomatiseerd botprogramma of script. Ze zijn nodig omdat aanvallers op internet anders misbruik zouden maken van allerlei online diensten. Bijvoorbeeld door nepaccounts te maken waarmee ze anderen kunnen aanvallen of op een andere manier misbruik kunnen maken van het systeem. Gebruikers komen niet onder captcha’s uit wanneer ze zich registreren op veel websites en/of een mogelijk risicovolle actie ondernemen. "Klik op alle afbeeldingen die straatnaamborden bevatten" is een bekend voorbeeld van een captcha. Het werkt en helpt bij authenticatie, maar net zo vaak werkt het ook niet.

Voorbeelden van captcha’s

Er zijn veel verschillende soorten captcha's. Waar sommige zeer eenvoudig zijn op te lossen, zijn andere meer bewerkelijk, waarbij die laatste groep meer vatbaar is voor menselijke fouten. De volgende voorbeelden maken duidelijk wat captcha’s zijn. In zijn simpelste vorm is het slechts een checkbox:

captcha

Na de klik verandert de afbeelding en wordt bevestigd dat het geen BOT is: 

captcha

Sommige tests vragen je om tekens in te voeren die zo overdreven veranderd zijn dat mensen ze nog steeds zouden moeten kunnen herkennen, maar een geautomatiseerd programma voor optische tekenherkenning (OCR) dat niet kan.

captcha

Het is aannemelijk dat veel gebruikers dit type test niet erg waarderen, omdat het moeilijk kan zijn om erachter te komen wat de karakters of woorden zijn. Ze klikken dan al snel op de knop "Nieuw woord verzenden".

Sommige captcha's (zoals hieronder) die door TikTok worden gebruikt, vragen gebruikers eenvoudigweg om twee vergelijkbare objecten te selecteren.

captcha

De meest gecompliceerde variant vraagt om "op alle vakjes te klikken” die verkeerslichten, auto's, verkeersborden of elke ander willekeurig beeld bevatten.

captcha

Het probleem met dit type captcha’s is dat de blokken vaak maar een heel klein stukje van het gewenste object bevatten. Het ziet er vaak zo willekeurig of microscopisch uit dat je niet zeker weet of je het moet selecteren of niet.

Captcha-trucs

De reden dat captcha’s nog zo vaak gebruikt worden is omdat ze werken. Veel cybercriminelen hebben geprobeerd om het oplossen van captcha's massaal te automatiseren, o.a. door gebruik te maken van machine learning, OCR en kunstmatige intelligentie-achtige tools. Geen van deze tools kan echter tippen aan de mens. En daarom besteedden aanvallers het oplossen van captcha’s uit aan mensen.

Ze gebruiken nog steeds bots en automatisering om zich op websites te registreren en accounts aan te maken. Ze gebruiken alleen niet de normale code van de website zoals deze wordt aangeboden aan een normale gebruiker tijdens het surfen op internet. In plaats daarvan maken ze kwaadaardige programma's die verbinding maken met de website of de bijbehorende Application Programming Interface (API), die alle door mensen leesbare tekst verwijdert en het mogelijk maakt om gemakkelijk en snel de vereiste accountregistratiegegevens in te vullen.

Wanneer de captcha-component wordt weergegeven, stuurt de bot hem naar echte gebruikers die door de hackers worden betaald om de ene na de andere captcha op te lossen. In bepaalde delen van de wereld hebben ze grote teams van arbeiders aan het werk gezet die onvermoeibaar captcha’s aan het oplossen zijn. Deze werknemers verdienen maar een klein bedrag per opgeloste captcha, maar als ze er honderden tot duizenden in een dag oplossen, kunnen ze er een paar euro meer verdienen. Wat in hun deel van de wereld gelijk staat aan een behoorlijk inkomen.

Organisaties die captcha's op hun website gebruiken, weten vaak dat aanvallers mensen inhuren om captcha's op te lossen en dus verdedigen ze zichzelf op vele manieren. Denk aan het volgen van de IP-adressen die betrokken zijn bij het oplossen van de captcha. Als er te veel captcha's worden opgelost via één IP-adres, zullen ze dat IP-adres afkappen of niet langer toestaan toekomstige captcha's op te lossen. Hackers reageren hier weer op door de gebruikte IP-adressen te wijzigen.

Gefrustreerde aanvallers gaan hier ook mee om door nog niet opgeloste captcha's te sturen naar miljoenen onschuldige mensen op internet, die alle hun eigen unieke IP-adres hebben. De cybercriminelen compromitteren onschuldige websites op internet en in plaats van een kwaadaardig JavaScript te injecteren dat malware probeert te installeren of inloggegevens te vervalsen, sturen ze een captcha-afbeelding waarvan ze hopen dat de ongelukkige gebruiker deze zal oplossen.

Schadelijke soorten captcha's

In het algemeen vormen kwaadaardige captcha-omleidingen een zeer laag risico voor de eindgebruiker. Voor zover ik weet, kunnen ze niet worden gebruikt om stilzwijgend malware op het apparaat van een gebruiker te installeren of om ze om te leiden naar een schadelijke webpagina. Ze lijken een beetje op adware-malware.

Maar net als adware kunnen kwaadaardige captcha's leiden tot iets veel kwaadaardigers. De aanwezigheid van adware op een computer betekent dat een veel kwaadaardiger trojan of ransomware-programma achter de deur dezelfde maas in de wet of truc zou kunnen gebruiken. Als een gebruiker ‘slechts’ adware heeft, heeft hij gewoon geluk. Het had veel erger kunnen zijn. Hetzelfde geldt voor kwaadaardige captcha-omleidingen. Niemand wil onbedoeld betrokken zijn bij het oplossen van captcha-puzzels voor hackers, zodat ze automatisch kwaadaardige accounts kunnen aanmaken of andere kwaadaardige dingen kunnen doen. Alle gebruikers moeten zich ervan bewust zijn dat ze potentieel gevaarlijke elementen te zien krijgen die ze moeten evalueren en correct moeten behandelen, zelfs als ze naar een zogenaamd ‘veilige’ website gaan.

Conclusie: captcha's horen thuis in security-training

Met behulp van security-awareness-training worden werknemers en gebruikers zich bewust van potentieel gevaarlijke website-elementen zoals captcha’s, en hoe ze deze kunnen identificeren en erop kunnen reageren. Security-experts moeten informeren over mogelijk kwaadaardige captcha-omleidingen, want als werknemers en gebruikers deze kunnen herkennen en vermijden, kunnen ze een hoop narigheid helpen voorkomen.

Door Roger Grimes, Data-Driven Defense Evangelist bij KnowBe4

Reactie toevoegen