Tschüss CAPTCHA

Auf der RSA Online-Conference 2021 debattierten Sicherheitsforscher über CAPTCHA-Farms.

Bei einer Podiumsdiskussion auf der RSA Conference 2021 zum Thema Internetbetrug und Angriffe auf Websites debattierten die Sicherheitsforscher über Schlussfolgerungen von Studien zu Taktiken und Angriffen von Cyberkriminellen auf große Organisationen. Ein Diskussionsteilnehmer, der ehemalige Polizeibeamter Dan Woods, sprach über seine Erfahrung als er zu Studienzwecken die Arbeit eines Angestellten einer CAPTCHA-Farm erledigte. Es gab reichlich zu tun und die Arbeit wurde schlecht bezahlt (ca. 3 $ pro Tag). Jedoch kam er durch diese Erfahrung zu dem Ergebnis, dass CAPTCHA längst nicht mehr seinen Zweck erfüllt.

Im Allgemeinen kann davon ausgegangen werden, dass wenn Benutzeroberflächen für Menschen entwickelt wurden, Bots keinerlei Notwendigkeit haben, darauf zuzugreifen. Programme kommunizieren nicht über Benutzeroberflächen miteinander, sondern über APIs. Folglich ist ein Bot, der über eine Benutzeroberfläche versucht auf eine Internetressource oder einen Online-Dienst zuzugreifen, mit höchster Wahrscheinlichkeit Teil eines Exploit-Versuches.

Die Abkürzung CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“, d. h. ein Captcha ist ein Test zur Unterscheidung zwischen Menschen und Maschinen. Über viele Jahre hinweg haben die Captcha-Systeme einen einsamen Krieg gegen illegale Bots geführt. Diese Art von Bot-Erkennung wird von vielen Dienstleistungen, einschließlich Online-Banking-Systemen und Treueprogrammen, immer noch verwendet. Allerdings ist es fraglich, ob wir uns heute wirklich noch auf CAPTCHA verlassen können.

Was ist eine Klick-Farm?

Mit Klick-Farm wird Klickbetrug bezeichnet, der von Menschen ausgeführt wird. Beispielsweise wenn viele Menschen auf Pay-per-Click-Werbung klicken, das Suchmaschinen-Ranking von Websites durch Klicks verbessern oder die Anzahl von „Gefällt mir“, Aufrufen, Umfrageantworten und anderen Metriken gezielt steigern. Das Klicken wurde zuerst von Bots ausgeführt, aber die Anwendung von Betrugsschutz-Algorithmen zwang die Betrüger dazu, diese Tätigkeit von Menschen erledigen zu lassen.

Einige Klick-Farms, wie beispielsweise die die Herr Woods angestellt hatte, sind auf CAPTCHA-Dienste spezialisiert und helfen Bots, die Schwierigkeiten bei der Verifikation haben.

Die Aufgaben der Angestellten einer CAPTCHA-Farm sind sehr einfach für Menschen, aber extrem komplex für Maschinen – die Angestellten müssen beispielsweise auf einem bildbasierten Captcha das Bild von einem Hydranten anklicken, in einem textbasierten Captcha eine zufällige Kombination aus verfremdeten Buchstaben entziffern, eine einfache Rechnung durchführen oder ähnliche Aufgaben machen.

Sie haben vielleicht bereits Ähnliches zum folgenden Thema im Internet gesehen:

Meme zum Thema Roboter und CAPTCHAs.

Das ist allerdings alles andere als lustig.

Sind CAPTCHAs notwendig?

Benutzer waren noch nie wirklich begeistert von dem CAPTCHA-System. Es können Fehler unterlaufen: Möglicherweise wird ein falsches Bild angeklickt, ein versteckter Hydrant übersehen oder ein Zeichen aus dem Durcheinander von Buchstaben und Zahlen wird nicht richtig eingegeben. Selbst wenn nichts falsch läuft, ist der CAPTCHA-Vorgang trotzdem benutzerunfreundlich, denn die Unterbrechung des Ablaufs wirkt sich negativ auf die Benutzererfahrung aus.

Außerdem werden für CAPTCHA-basierten Betrug nicht nur CAPTCHA-Farms eingesetzt. Manche Betrüger setzen weiterhin darauf das Problem mit künstlicher Intelligenz zu lösen. CAPTCHA mit all seinen Fehlern ist trotzdem ein Schutzmechanismus und es scheint sinnvoll ihn auch weiterhin zu verwenden. Leider ist es nicht ganz so einfach.

CAPTCHA-Alternativen

CAPTCHAs bieten heutzutage keinen zuverlässigen Schutz mehr vor Eindringlingen und können von Benutzern als sehr nervig empfunden werden. Angesichts dieser Fakten ist es möglicherweise an der Zeit, sich von diesem System zu verabschieden.

Glücklicherweise gibt es abgesehen von CAPTCHAs auch andere Alternativen, um festzustellen, ob es ein Mensch oder ein Roboter ist, der versucht auf ein System zuzugreifen. Werfen Sie einen Blick auf die erweiterte Authentifizierung der Sicherheitslösung Kaspersky Fraud Prevention, mit der unnötige Authentifizierungsschritte vermieden und nahtlose digitale Kundenerlebnisse geboten werden können.

Dank maschinellen Lernens kann für die erweiterte Authentifizierung Folgendes verwendet werden: Umfangreiche Analysen des Nutzerverhaltens, passive biometrische Indikatoren, Daten über das Gerät das für die Authentifizierungsanfrage verwendet wird, das Geräteumfeld und vieles mehr. Mithilfe all dieser Daten ist es möglich schnell und fehlerfrei zu entscheiden, ob dem Benutzer das Anmelden gestattet werden kann, ob zusätzliche Authentifizierung notwendig ist oder der Zugriff verweigert werden muss. Zusammenfassend können wir sagen, dass diese Technologie genau bestimmen kann, ob eine Person oder eine Maschine versucht auf einen bestimmten Online-Dienst zuzugreifen.

Weitere Informationen zu dieser Lösung finden Sie hier.

Tipps