Сегодня 25 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → captcha

Captcha стала бесполезной: ИИ-боты научились проходить тесты на человечность быстрее, чем люди

Современные технологии искусственного интеллекта (ИИ) поставили под сомнение эффективность привычных инструментов защиты от ботов в интернете. Прохождение тестов капчи (Captcha), созданные для того, чтобы отличать людей от машин, больше не справляются с этой задачей, утверждает издание The Conversation. Сегодня боты способны решать эти головоломки быстрее и точнее, чем люди.

 Источник изображения: Google

Источник изображения: Google

Капча, появившаяся в начале 2000-х годов, была изобретена учёными из Университета Карнеги-Меллон. Изначально она была разработана для защиты сайтов от автоматизированных программ — ботов, которые создавали фальшивые аккаунты или, например, скупали билеты и распространяли спам. Принцип работы был очень прост: человек должен был выполнить задание, которое легко для людей, но сложно для машин.

Первая версия капчи предлагала пользователям вводить буквы и цифры. Позже, в 2007 году, появилась ReCaptcha, где к задачам добавились слова. В 2014 году Google выпустила ReCaptcha v2, которая до сих пор остаётся самой популярной. Она предлагает либо отметить галочку «Я не робот», либо выбрать верные изображения, например, с велосипедами или светофорами.

Однако ИИ-системы научились капчу обходить. Технологии компьютерного зрения и обработки языка позволяют машинам с лёгкостью «читать» искажённый текст и распознавать объекты на изображениях. Например, ИИ-инструменты, такие как Google Vision и OpenAI Clip, решают подобные задачи за доли секунды, тогда как человеку требуется гораздо больше времени. И это уже становится проблемой в реальной жизни. Боты используются для скупки билетов на спортивные матчи или массового бронирования мест, лишая тем самым доступа к покупке билетов обычных пользователей. Например, в Великобритании автоматизированные программы массово резервируют места на экзамены по вождению, чтобы затем их перепродавать с большой наценкой.

Тем не менее, разработчики пытаются адаптироваться к новым вызовам. Так, в 2018 году Google представила ReCaptcha v3, которая больше не требует от пользователей решать головоломки. Вместо этого система анализирует поведение на сайте — движение курсора, скорость набора текста и другие детали, характерные только для человека.

Однако выяснилось, что и такие методы не идеальны. Во-первых, они вызывают вопросы о конфиденциальности данных, так как требуют сбора информации о пользователях. Например, некоторые сайты уже начали использовать биометрические данные для проверки пользователей, такие как отпечатки пальцев, голосовые команды или идентификацию по лицу.

Во-вторых, даже эти системы уже могут обходиться продвинутыми ИИ, а с появлением ИИ-агентов — программ, которые будут выполнять задачи от имени пользователей, ситуация может усложниться ещё больше. В будущем сайтам потребуется различать «хороших» ботов, работающих на благо пользователей, и «плохих», которые нарушают правила. Одним из возможных решений может стать введение цифровых сертификатов для аутентификации, но пока они находятся на стадии разработки.

То есть, борьба между ботами и системами защиты продолжается. Captcha, которая когда-то была надёжным инструментом, теряет свою эффективность, а разработчикам предстоит найти новые способы защиты, которые будут одновременно удобными для пользователей и недоступными для злоумышленников.

Защита от роботов перестала работать: ИИ научился идеально проходить проверку reCAPTCHAv2

Исследователи Андреас Плеснер (Andreas Plesner), Тобиас Фонтобель (Tobias Vontobel), Роджер Ваттенхофер (Roger Wattenhofer) из Швейцарской высшей технической школы Цюриха с помощью ИИ взломали систему проверки reCAPTCHAv2, которая используется на сайтах для подтверждения того, что пользователь является человеком, а не роботом. Учёные утверждают, что обученная ими нейросеть способна пройти 100 % проверок, тогда как раньше этот процент не превышал 71 %.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Исследователи изучали эффективность использования передовых методов машинного обучения для решения проверок (капч) из системы reCAPTCHAv2 от Google. Они пытались оценить эффективность автоматизированных систем в решении капч, используя передовые модели YOLO (You Only Look Once) для сегментации и классификации изображений.

reCAPTCHAv2 требует от пользователей отмечать на изображении области с определёнными предметами, подразумевая, что бот на такое не способен. Исследователи пришли к выводу, что на современном этапе развития ИИ разница в сложности подобных задач для человека или нейросети нивелируется. Это означает, что современные технологии ИИ могут без проблем проходить проверки, основанные на распознавании изображений.

 Источник изображения: humansnotinvited.com

Источник изображения: humansnotinvited.com

«Мы также заглядываем под капот reCAPTCHAv2 и находим доказательства того, что reCAPTCHAv2 в значительной степени основана на данных cookie и истории браузера при оценке того, является ли пользователь человеком или нет», — добавили исследователи.

Ловушка для геймеров-пиратов: вредонос ClickFix маскируется под CAPTCHA для заражения ПК

Исследователи кибербезопасности McAfee Labs выявили широкомасштабную кампанию по распространению вредоносного ПО под названием ClickFix, которое использует поддельные страницы CAPTCHA для заражения ПК пользователей вирусом Lumma Stealer. Атака имеет глобальный охват, использует методы социальной инженерии, и в основном нацелена на геймеров, ищущих пиратские взломанные игры, и пользователей GitHub.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Вредоносное ПО распространяется двумя основными способами. В первом сценарии пользователи, ищущие пиратские или взломанные игры, перенаправляются на поддельные страницы CAPTCHA. Во втором сценарии используются фишинговые письма, имитирующие сообщение от GitHub с информацией о якобы выявленных проблемах безопасности в проектах пользователя. Эти письма также содержат ссылку на страницу с фейковой CAPTCHA.

При взаимодействии пользователей с этими страницами вредоносный скрипт скрытно копируется в буфер обмена их ПК, а «инструкция по верификации» убеждает запустить скрипт на выполнение. При этом ClickFix использует несколько умных способов избежать обнаружения: многослойное шифрование, использование инструмента Windows под названием mshta.exe для запуска скрытого кода и зашифрованные с помощью AES команды PowerShell, используемые для загрузки и установки Lumma Stealer.

 Источник изображения: Game Science / McAfee

Источник изображения: Game Science / McAfee

Анализ McAfee показывает, что вредоносное ПО обычно сохраняется во временной папке пользователя, место, которое часто упускается из виду при сканировании безопасности. Компания уже внедрила защитные меры, включая блокировку URL известных поддельных страниц CAPTCHA и контроль за нестандартным использованием mshta.exe.

Чтобы снизить риски, эксперты советуют не загружать взломанное или пиратское программное обеспечение и призывают пользователей остерегаться нежелательных писем, даже тех, которые, как кажется, приходят из надёжных источников. Не следует копировать и вставлять неизвестные скрипты, а программное обеспечение безопасности нужно поддерживать в актуальном состоянии.

Процесс распространения вредоносного ПО демонстрирует изменение тактики киберпреступников. Они эксплуатируют стандартное поведение пользователей и доверие к знакомым веб-элементам, таким как проверка CAPTCHA. Постоянная бдительность и обучение имеют решающее значение для поддержания кибербезопасности, поскольку угрозы становятся всё более изощрёнными.

Боты научились решать капчи быстрее и точнее, чем люди

Тесты CAPTCHA (капча), которые сайты используют для проверки, являетесь ли вы человеком, теперь могут быть быстрее решены ботами, чем людьми. Несмотря на их первоначальное назначение — борьбу с автоматизированными ботами в интернете, исследования показали, что машины решают эти задачи быстрее и точнее.

 Источник изображения: perianjs / Pixabay

Источник изображения: perianjs / Pixabay

CAPTCHA — это аббревиатура от Completely Automated Public Turing test to tell Computers and Humans Apart, что означает «Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей». Эти тесты обычно включают в себя идентификацию искажённых букв, изображений с определёнными предметами и животными или выполнение простых арифметических задач. Они были созданы для решения одной из самых сложных проблем в интернете: борьбы с ботами, которые притворяются людьми, чтобы создавать фальшивые аккаунты и оставлять ненастоящие отзывы.

Исследование, проведённое учёными из Калифорнийского университета в Ирвайне (UCI), показало, что тесты CAPTCHA не так эффективны, как предполагалось раньше. В ходе исследования учёные сравнили поведение ботов и 1400 человек, которым предложили решить 14000 различных тестов. Результаты были однозначными: машины победили.

Когда людям предлагали решить тесты на искажённый текст, они тратили от 9 до 15 секунд и правильно отвечали лишь в 50-84 % случаев. В то время как боты проходили те же тесты менее чем за секунду с точностью 99,8 %.

Профессор Джин Цудик (Gene Tsudik) из UCI — один из соавторов исследования — считает, что необходимы лучшие решения борьбы с ботами. Он задаётся вопросом: «Почему мы продолжаем использовать технологию, которая почти всеми нелюбима, стоит так дорого (особенно с точки зрения потерь человеческого времени) и неэффективна против ботов?»

Цудик предполагает, что одна из причин — крупные поставщики CAPTCHA, включая Google, которые зарабатывают на продаже своих услуг и не имеют стимулов отказываться от своего метода работы. Профессор и его коллеги проанализировали 200 из самых популярных сайтов и обнаружили, что 120 из них используют тесты CAPTCHA. Цудик сомневается, что будет создана форма CAPTCHA, которая пройдёт проверку временем. Он утверждает, что, несмотря на все нововведения, боты в конечном итоге окажутся победителями в этой гонке технологий.


window-new
Soft
Hard
Тренды 🔥
Apple хочет самостоятельно защищать свои интересы в антимонопольном расследовании против Google 2 ч.
Гладко было на бумаге: забагованное ПО AMD не позволяет раскрыть потенциал ускорителей Instinct MI300X 8 ч.
На Nintendo Switch выйдет подражатель Black Myth: Wukong, который позиционируется как «одна из важнейших игр» для консоли 9 ч.
Датамайнеры нашли в файлах Marvel Rivals следы лутбоксов — NetEase прокомментировала ситуацию 11 ч.
Надёжный инсайдер раскрыл, когда в Game Pass добавят Call of Duty: World at War и Singularity 12 ч.
Лавкрафтианские ужасы на море: Epic Games Store устроил раздачу рыболовного хоррора Dredge, но не для российских игроков 13 ч.
VK запустила инициативу OpenVK для публикации ПО с открытым кодом 13 ч.
CD Projekt Red объяснила, почему оставила мужскую версию Ви за бортом кроссовера Fortnite и Cyberpunk 2077 15 ч.
Открытое ПО превратилось в многомиллиардную индустрию 15 ч.
Слухи: в вакансиях Blizzard нашли намёки на Diablo V 16 ч.
Новая статья: Обзор MSI MAG Z890 Tomahawk WiFi: материнская плата с загадками 7 ч.
Новая статья: Больше кубитов — меньше ошибок? Да, но торопиться не надо… 9 ч.
xAI одобрили 150-МВт подключение к энергосети, хотя местные жители опасаются роста цен и перебоев с поставками электричества 11 ч.
В Южной Корее задумались о создании KSMC — конкурента TSMC с господдержкой 12 ч.
«Гравитон» выпустил первый GPU-сервер на российском процессоре для ИИ и НРС 12 ч.
МТС представила российское SD-WAN-решение для корпоративных сетей 12 ч.
Электрический человекоподобный робот Boston Dynamics Atlas в костюме Санта-Клауса впервые сделал сальто назад 12 ч.
NASA отложило запуск важной миссии по изучению космической погоды 13 ч.
AOC представила игровой QD-OLED-монитор Agon Pro AG276QSD — 26,5 дюймов, 1440p и 360 Гц 14 ч.
Oppo представила смартфон A5 Pro с защитой IP69, Dimensity 7300 и батареей на 6000 мА·ч по цене от $270 14 ч.