Layanan Pembobolan CAPTCHA dengan Pemecah Manusia Membantu Penjahat Dunia Maya Mengalahkan Keamanan
30 Mei 2023 Ravie Lakshmanan
Peneliti keamanan siber memperingatkan tentang layanan pemecah CAPTCHA yang ditawarkan untuk dijual guna melewati sistem yang dirancang untuk membedakan pengguna sah dari lalu lintas bot.
“Karena penjahat dunia maya tertarik untuk memecahkan CAPTCHA secara akurat, beberapa layanan yang terutama ditujukan untuk memenuhi permintaan pasar ini telah diciptakan,” kata Trend Micro dalam laporan yang diterbitkan minggu lalu.
“Layanan penyelesaian CAPTCHA ini tidak digunakan [optical character recognition] teknik atau metode pembelajaran mesin tingkat lanjut; sebaliknya, mereka memecahkan CAPTCHA dengan menyerahkan tugas-tugas pemecah CAPTCHA kepada manusia yang memecahkannya.”
CAPTCHA – kependekan dari Completely Automated Public Turing test to tell Computers and Humans Apart – adalah alat untuk membedakan pengguna manusia asli dari pengguna otomatis dengan tujuan memerangi spam dan membatasi pembuatan akun palsu.
Meskipun mekanisme CAPTCHA dapat mengganggu pengalaman pengguna, mekanisme tersebut dipandang sebagai cara yang efektif untuk melawan serangan dari lalu lintas web yang berasal dari bot.
Layanan pemecahan CAPTCHA terlarang bekerja dengan menyalurkan permintaan yang dikirim oleh pelanggan dan mendelegasikannya ke manusia pemecahnya, yang akan mencari solusi dan mengirimkan hasilnya kembali ke pengguna.
Terlebih lagi, seluruh alur kerja dapat diakses oleh operator bot dengan memungkinkan transmisi CAPTCHA secara real-time melalui panggilan API ke penyedia layanan, yang kemudian mengirimkan jawabannya secara terprogram.
“Hal ini memudahkan pelanggan layanan pemecah CAPTCHA untuk mengembangkan alat otomatis terhadap layanan web online,” kata peneliti keamanan Joey Costoya. “Dan karena manusia sebenarnya memecahkan CAPTCHA, tujuan memfilter lalu lintas bot otomatis melalui pengujian ini menjadi tidak efektif.”
Bukan itu saja. Pelaku ancaman telah diamati membeli layanan pemecah CAPTCHA dan menggabungkannya dengan penawaran proxyware untuk mengaburkan alamat IP asal dan menghindari hambatan antibot.
Proxyware, meskipun dipasarkan sebagai utilitas untuk berbagi bandwidth internet yang tidak terpakai milik pengguna dengan pihak lain dengan imbalan “pendapatan pasif”, pada dasarnya mengubah perangkat yang menjalankannya menjadi proxy perumahan.
Dalam salah satu contoh layanan pemecah CAPTCHA yang menargetkan pasar perdagangan sosial populer Poshmark, permintaan tugas yang berasal dari bot dirutekan melalui jaringan proxyware.
“CAPTCHA adalah alat yang umum digunakan untuk mencegah spam dan penyalahgunaan bot, namun meningkatnya penggunaan layanan pemecah CAPTCHA telah membuat CAPTCHA menjadi kurang efektif,” kata Costoya. “Meskipun layanan web online dapat memblokir IP asal pelaku, peningkatan penggunaan proxyware membuat metode ini sama tidak berdayanya dengan CAPTCHA.”
Untuk memitigasi risiko tersebut, layanan web online disarankan untuk melengkapi CAPTCHA dan daftar blokir IP dengan alat anti-penyalahgunaan lainnya.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
