Daha yaygın olanlardan biri çevrimiçi tehditler Bu saldırı, çevrimiçi sayfaları manipüle etmenin, veritabanlarına erişmenin ve verileri çalmanın yollarını arayan, internette dolaşan botları programlayan siber suçlulardan geliyor.
Bilgisayarlarla İnsanları Ayırmak için CAPTCHA’ya veya Tamamen Otomatik Herkese Açık Turing Testine girin. Söylediği gibi, kötü niyetli botları meşru insanlardan ayırmak için tasarlanmıştır. Botların karmaşıklığı sürekli arttıkça, bu geleneksel tespit yöntemi buna ayak uydurabilecek mi?
Mise en Place: Geleneksel CAPTCHA’nın Malzemelerinin Toplanması
İlk olarak 1990’ların sonlarında ortaya çıkan orijinal CAPTCHA testleri, rastgele harf ve sayıların birleşimini içeren bozuk görüntülerden oluşuyordu. Botların belirli Web sayfalarına erişmek istemesinin birçok kötü nedeni vardır. Örneğin, kötü botlar şunları yapabilir:
- Sahte hesaplar oluşturun ve değerli kaynakları boşa harcayın. Tehdit aktörleri bunları kullanıyor sahte hesaplar analitiği çarpıtmak, sunucuları aşırı yüklemek ve gerçek kullanıcılara erişmeye çalıştıkları hizmetleri engellemek için trafiği artırmak.
- Yorumları ve iletişim formlarını spam göndererek siteleri ele geçirin. Denetlenmezlerse botlar web sitelerini uygunsuz malzeme ve tehlikeli bağlantılar içeren yorum ve mesajlarla doldurabilir. Bağlantılara tıklayan kullanıcılar potansiyel dolandırıcılıklara karşı savunmasız hale gelir.
- Scalper’ların büyük miktarlarda yüksek talep gören biletleri ve diğer ürünleri satın almasına izin verin. Örneğin, bu yaz vizyona girdiğinde Barbie Filmler, botlar ve scalpers, ürünler satın almaya ve ürünleri eBay’de yeniden satışa sunmaya başladı. %325 kar.
- Kontrolsüz bir şekilde oy vererek çevrimiçi anketleri çarpıtın. Kötü amaçlı botlar, öğelerin daha fazla veya daha az olumlu görünmesini sağlamak için çeşitli sitelerdeki ürün derecelendirmelerini çarpıtabilir. Bu, genel müşteri duyarlılığını, gerçek tüketicilerin bir ürün hakkında ne hissettiğini temsil etmeyecek şekilde etkiler.
90’lı yıllarda geliştirilen CAPTCHA’lar bir zamanlar botların bu olumsuz etkilerinin çoğuna çözüm bulmak için yeterliyken, günümüzün tehdit ortamı artık çok karmaşık hale geldi. Botlar, zorlukları çözmek için bozuk harfleri ve sayıları okuyabilmeden önce bu, sağlam bir güvenlik duruşuydu.
Kesme Bloğu: Son Atlamalar CAPTCHA’nın Karanlık Tarafının Kanıtıdır
Botların gelişmişliğindeki artışın kanıtı, yakın zamanda yapılan bir araştırmada özetlendi. baskı Polis, çeşitli CAPTCHA testlerini atlama yöntemleri de dahil olmak üzere taktikler kullanarak göçmenlik randevularını almak ve yeniden satmak için botlardan yararlanan yaklaşık 70 kişiyi tutukladı.
Bu, CAPTCHA’ların neden hiçbir zaman tek savunma hattınız olmaması gerektiğini vurguluyor. Modası geçmiş, kolayca manipüle edilebilir ve güvensizdirler. Kuruluşlar botlara meydan okumak için CAPTCHA’ları kullanmayı tercih ederse, güvenliğe öncelik veren ve yeni bot tekniklerinin gerçek zamanlı olarak tanımlanmasını sağlayanlara güvenmeleri gerekir; bu da CAPTCHA çiftliklerini ve CAPTCHA çözme botlarını işe yaramaz hale getirir.
Bir diğer güvenlik endişesi tehdit gruplarının bu CAPTCHA çiftliklerinde önemli miktarda CAPTCHA bulmacasını çözmek için ucuz iş gücü kullanmasıdır. Bunun nedeni, bir saldırganın gerçek, otomatik tarayıcılar veya otomatik başsız tarayıcılar kullanarak büyük ölçekli tarama veya kimlik bilgisi doldurma saldırıları gerçekleştirmesinin maliyetli olmasıdır.
Eski CAPTCHA’ları Azaltın
Kötü niyetli aktörlerin yeteneklerinin etkili bir şekilde önünde kalabilmek için gizli bileşen güvenlik, kullanıcı deneyimi ve kullanıcı gizliliği arasındaki dengeyi bulmaktır. Tek bir güvenlik katmanı eklemek artık şirketlere veya onların güvenlik araçlarına izin vermiyor sınırsız yetki Kullanıcı verilerini uygun gördükleri şekilde işlemek için.
Tek katmanlı, geleneksel CAPTCHA savunmalarının ötesine geçmeleri ve bu teknolojiyi birleştiren bir güvenlik yığını geliştirmeleri gerektiği açıktır. Etkili bir CAPTCHA çözümü geliştirmek için şu temel kavramları göz önünde bulundurun:
- CAPTCHA asla bir kenara bırakılmamalıdır. Yanlış pozitifleri ve negatifleri gözden geçirmeniz için şeffaflığa izin vermeli ve yanıtları buna göre güncellemeniz için eksiksiz bir geri bildirim döngüsü içermelidir.
- Veri gizliliği her şeyden önemlidir. Kullanıcıların, bir web sitesine eriştiklerinde verilerinin toplanıp toplanmadığı, nereye gittiği ve ne için kullanıldığı konusunda hiçbir zaman endişelenmelerine gerek kalmamalıdır. Geleneksel CAPTCHA’ların, nasıl ve nerede kullanıldığını açıklamadan, son kullanıcılardan kişisel olarak tanımlanabilir bilgileri (PII) topladığı bulunmuştur. Bir CAPTCHA çözümü, küresel olarak veri gizliliği yasaları ve düzenlemeleriyle uyumlu olmalıdır.
- CAPTCHA’lar kullanıcı deneyimini engellememelidir. Uzun yükleme sürelerinden erişilebilirlik sorunlarına kadar, geleneksel CAPTCHA’lar müşteri deneyimi açısından oldukça kötüdür. Yalnızca gerektiğinde ortaya çıkan, hızlı yüklenen, insanlar için kolay ancak botlar için zor olan ve erişilebilirliği ön plana çıkaran ve tüm bunları güvenliğinin doğruluğundan ödün vermeden gerçekleştiren bir CAPTCHA arayın.
Herkes Doğru Gereçlerle Şef Olabilir
Tehditler geliştikçe CAPTCHA’lar da gelişir ve doğru güvenlik duruşuyla kuruluşlar yine de botları alt edebilir. Bunu yapmak için işletmelerin, koruma stratejilerini (CAPTCHA’ları dahil) uyarlamalarına yardımcı olabilecek ve hem istemci tarafını (cihaz ayrıntıları ve olay takibi) hem de sunucu tarafını (itibar, davranış ve parmak izi) yetenekleri.
CAPTCHA’lar tek başına yeterli bot koruması olmasa da, eksiksiz bir bot ve çevrimiçi sahtekarlığa karşı koruma programıyla düzgün bir şekilde entegre edildiklerinde yararlı bir araç olabilirler.
yazar hakkında
Benjamin Fabre, 2015 yılında kurucu ortağı olduğu DataDome şirketinin CEO’sudur. Bir siber güvenlik vizyoneri olan Benjamin, bot kaynaklı dolandırıcılığın yükselişini öngördü. Otomatik çevrimiçi tehditleri engelleme yarışının uçta anında yanıt verilmesini gerektirdiğini erkenden anladı; Statik kurallar ne kadar hızlı güncellenirse güncellensin her zaman bir adım geride kalacaktır. Bir teknoloji uzmanı olarak derin uzmanlığından yararlanan Benjamin, BT güvenlik ekipleri için gerçek bir güç çarpanı olan şeffaf ve kurulumu kolay bir anti-bot çözümü oluşturmaya koyuldu.