مزرعه کپچا چیست و چطور می‌توان کپچا را دور زد؟

امروزه کپچا به طور گسترده به عنوان یک اقدام اساسی برای محافظت وبسایت از شر ربات‌های مزاحم استفاده می‌شود. اما متاسفانه بیشتر کپچاها در برابر ربات‌های مخرب مصون نیستند. کلاهبرداران و هکرها از روش‌های پیچیده‌ای برای دور زدن کپچا بهره‌ می‌گیرند و کپچاهای ساده یا آن‌ها که موارد امنیتی لازم را رعایت نکرده‌اند، در برابر بات‌ها آسیب‌پذیرند. مزرعه کپچا یکی از راه‌هایی است که هکرها با استفاده از آن، می‌توانند کپچا را دور بزنند.

مزرعه کپچا چیست؟

اول از همه بیاید نحوه شکل گیری و چگونگی فعالیت مزرعه‌های کپچا (Captcha Farms) را بررسی کنیم. مزرعه‌های کپچا با بیش از یک دهه فعالیت، تبدیل به تجارتی پررونق شده است. Google، My Space و YouTube از همان سال‌های اولیه فعالیتشان برای جلوگیری از حملات فیشینگ (ارسال لینک به کاربران وبسایت و بدست آوردن اطلاعات شخصی از طریق آن)، اختلال در ترافیک (حمله ناگهانی بیش از صدها ربات که با درخواست‌هایشان وبسایت را برای مدتی آفلاین می‌کنند) و کاهش رتبه سئو با ارسال بک لینک در بخش نظرات توسط ربات‌ها، از کپچا استفاده کرده‌اند. هیچ تجارتی علاقه به بروز این نوع اختلالات در وبسایتش ندارد. این نوع فعالیت ربات‌ها منجر به تعبیه سیستمی قوی تر در وبسایت‌های تجاری شده است، در حالی که دیگر سازمان‌ها بر اساس این رفتار‌های مخرب ساخته شده‌اند.

بطور ساده، مزرعه‌های کپچا خدماتی هستند که توسعه دهندگان ربات‌ها از طریق API  میتوانند برای حل خودکار Captcha از آنها استفاده کنند. هدف اصلی ایجاد ربات‌ها کمک به انسان‌ها بوده است. جالب است بدانید در مزرعه کپچا این انسان‌ها هستند که به ربات‌ها کمک می‌کنند تا کپچا را حل کنند. بجای استفاده از هوش مصنوعی که نیاز به تکنولوژی پیشرفته‌ای دارد، مزرعه‌های کپچا مانند 2Captcha و DeathByCaptcha در اقدامی کپچاهایی که ربات‌ها با آنها روبرو می‌شوند را بین کارگران انسانی که اکثرا در کشور‌های درحال توسعه فعالیت میکنند، توزیع می‌کنند. این سرویس‌ها بسته به نوع کپچا (hCaptcha, Geetest, FunCaptcha) هزینه‌ای بین ۱ تا ۳ دلار برای حل ۱۰۰۰ کپچا دارند. حتی سرویس هوشمند reCaptcha که توسط گوگل رونمایی شده است و با هوش مصنوعی تلاش میکند انسان را از ربات متمایز کند، هم از آسیب مزرعه کپچا در امان نمانده است.

نحوه فعالیت مزرعه کپچا و دور زدن کپچا

به ترتیب زیر سیر فعالیت ربات توسط کپچا به چالش کشیده می‌شود:

در اولین مرحله فعالیت ربات بعد از ورود به سایت توسط کپچا مسدود می‌شود. سپس ربات از طریق API با پارامترهای کلید عمومی و نام دامنه وبسایت مورد حمله، با مزرعه کپچا ارتباط برقرار می‌کند. در گام بعد مزرعه کپچا از یکی از کارگران خود می‌خواهد که کپچا را حل کند. و بعد از گذشت 30 الی 45 ثانیه ربات با ارسال پاسخ صحیح کپچا را حل می‌کند.

به طور خلاصه، حل کپچا به سادگی فراخوانی یک تابع در کد‌های ربات است و مهاجم حتی نیاز به تعامل مستقیم و کلیک بر روی آن ندارد. جالب است بدانید گاهی حتی نیاز به مزرعه کپچا هم نیست و تنها کافیست مهاجم ساختار و ‌URL که پاسخ کپچا به آن فرستاده می‌شود را بداند و با هک درخواست‌های آن میتواند کپچا را دور بزند و در نهایت آن را بدون استفاده از مرورگر حل کند. این راهکار با مشاهده devtools به راحتی هرچه تمام تر برای هکرها قابل پیاده‌سازی است.

کاهش هزینه

مزرعه‌های کپچا باعث می‌شود هزینه‌های زیرساختی توسعه دهندگان ربات‌ها بطور چشمگیری کاهش پیدا کند. به عنوان مثال یک مهاجم که حملات crawling یا credential stuffing را در مقیاس گسترده انجام میدهد، نمیتواند به علت هزینه‌های بالا از مرورگرهای خودکار بدون دردسر استفاده کند زیرا به منابع محاسباتی (CPU و RAM) قابل توجهی نیاز دارند. درنتیجه بهترین انتخاب ربات‌هایی هستند که تنها به چند خط کد و کتابخانه‌های ساده مثل urllib.quest در پایتون یا Axios در Node.js قابل اجرا هستند. مزرعه‌های کپچا موجب می شوند هکرها زیرساخت‌های مورد نیاز را با قیمتی ارزان‌تر فراهم کنند. به همین دلیل خدمات ناچیز مزرعه کپچا، بازگشت خوبی از سرمایه را به همراه دارند.

علاوه بر کمک انسان، روش‌های دیگری نیز برای دور زدن کپچا بوسیله ربات‌ها وجود دارد. از جمله نویسه خوان نوری (Optical Character Recognition) و صدا برای تست سرویس‌ها.

در اینجا ما تحقیق خود را بر روی صنعت چند میلیون دلاری مزرعه کپچا متمرکز کرده‌ایم.

چالش شناسایی مزرعه کپچا

شناسایی ربات‌هایی که از مزارع کپچا برای دور زدن کپچا استفاده می‌کنند چالش برانگیز است. در واقع بسیاری از راه ‌حل‌های مدیریت ربات، کپچای حل شده را به عنوان انسان بودن بازدید کننده می‌پذیرند. کپچای حل شده اغلب به عنوان بازخوردی مثبت درنظر گرفته می‌شود. در این بین اگر به اشتباه فعالیت انسان بلاک شود، سیستم تشخیص می‌تواند این اشتباه را تصحیح کند و به کاربر اجازه ادامه فعالیت بدهد. حال مزرعه‌های کپچا قابلیت اعتماد به حلقه بازخورد را کاهش می‌دهند. زیرا با حل کپچا باعث افزایش ورود ربات‌ها در قالب انسان می‌شوند. برای متوقف کردن ربات‌ها، تشخیص مزرعه‌های کپچا بسیار حیاتی است. چند نمونه رویکرد وجود دارد که سیستم‌های تشخیص میتوانند با تکیه بر آن مزرعه‌های کپچا را شناسایی کنند.

سرعت حل کپچا

اکثر کارگران مزرعه‌های کپچا سرعت حل بیشتری نسبت به کاربران عادی دارند. سیستم تشخیص با استفاده از این رویکرد میتواند برخی از فعالیت‌های مخرب را شناسایی و بلاک کند.

هوش مصنوعی

اگر ورود به وبسایت توسط سیستم‌عامل‌های منسوخ، از کشورهای غیرمعمول و یا IP غیرطبیعی صورت گرفته باشد، میتواند نشان دهنده ورود کارگران مزرعه‌های کپچا باشد. با تجزیه و تحلیل داده تولید شده در وبسایت میتوان ویژگی کاربران را دریافت و افرادی که ویژگی غیر معمول دارند را بلاک کرد.

جمع‌بندی

سرویس‌های بیشماری مانند 2Captcha ،Anti-Captcha و End Captcha برای دور زدن کپچا به ‌وجود آمده است. همانطور که در ابتدا گفته‌ شد هیچکدام از سرویس‌های کپچای پر استفاده از جمله reCaptcha، از حملات مزرعه کپچا و سرویس های حل کپچا مصون نیستند. با این حال هیچکدام از این سرویس‌ها از کپچای فارسی پشتیبانی نمی‌کنند. درنتیجه هکرها و اسپمرها از طریق این سرویس‌ها نمی‌توانند به وب‌سایت‌هایی که از کپچای فارسی استفاده می‌کنند، حمله کند. در این بین آرکپچا فارسی با ایجاد تغییراتی نوین در کپچاها مانع از فعالیت ربات‌های مخرب در وبسایت می‌شود. سرویس آرکپچا با تولید کپچای فارسی، از فعالیت اسپمرها و مهاجمان در وبسایت شما جلوگیری می‌کند. و محیطی امن برای کاربران به ارمغان می‌آورد.