Рецепта за прецизна защита от ботове

Рецепта за прецизна защита от ботове

Една от най-разпространените онлайн заплахи идва от киберпрестъпници, които програмират ботове, които обикалят интернет и търсят начини за манипулиране на онлайн страници, достъп до бази данни и кражба на данни.

Въведете CAPTCHA, или напълно автоматизиран публичен тест на Тюринг за разграничаване на компютри и хора. Той е предназначен да прави точно това, което казва – да разграничава злонамерени ботове от легитимни хора. Тъй като сложността на ботовете непрекъснато нараства, може ли този конвенционален метод за откриване да бъде в крак с нея?

Място на изпълнение: Събиране на съставките на традиционната CAPTCHA

Първоначалните CAPTCHA тестове, които се появиха за първи път в края на 90-те години на миналия век, бяха съставени от изкривени изображения, съдържащи комбинация от случайни букви и цифри. Съществуват много  причини, поради които ботовете биха искали да получат достъп до определени уеб страници. Например, лошите ботове могат:

  • Създават фалшиви акаунти и губите ценни ресурси. Заплахите използват тези фалшиви акаунти, за да увеличат трафика, да изкривят анализите, да претоварят сървърите и да откажат на истинските потребители услугите, до които се опитват да получат достъп.
  • Превземат сайтове чрез спам на коментари и форми за контакт. Ако бъдат оставени без модерация, ботовете могат да наводнят уебсайтовете с коментари и съобщения, съдържащи неподходящи материали и опасни връзки. Потребителите, които кликват върху връзките, стават уязвими за потенциални измами.
  • Позволяват на прекупвачите да купуват големи количества билети и други продукти с голямо търсене. Например при излизането на филма за Барби това лято ботове и търговци започнаха да купуват стоки и да ги предлагат отново в eBay с надценка от 325%.
  • Изкривяване на онлайн анкети чрез неконтролируемо гласуване. Злонамерените ботове могат да изкривят оценките на продуктите в различни сайтове, за да направят така, че те да изглеждат по-благоприятни или по-малко благоприятни.

Това се отразява на цялостното настроение на клиентите по такъв начин, че не е представително за това как реалните потребители се отнасят към даден продукт.
Въпреки че CAPTCHA, разработени през 90-те години, някога са били достатъчни за справяне с много от тези отрицателни ефекти на ботовете, днешният пейзаж на заплахите е станал твърде сложен. Преди ботовете да могат да разчитат изкривени букви и цифри, за да решат предизвикателствата, това беше солидна позиция за сигурност.

 

Блокът за рязане: Последните заобикаляния са доказателство за тъмната страна на CAPTCHA

Доказателство за нарастващата сложност на ботовете е неотдавнашната акция, при която полицията арестува близо 70 души, използващи ботове за резервиране и препродажба на срещи за имиграция, като използват тактики, включващи методи за заобикаляне на различни CAPTCHA тестове.

Това показва защо CAPTCHA никога не трябва да бъде единствената ви защитна линия. Те са остарели, лесно се манипулират и са несигурни. Ако организациите решат да използват CAPTCHA за предизвикване на ботове, те трябва да разчитат на такива, които дават приоритет на сигурността и гарантират, че новите техники за ботове се идентифицират в реално време, което прави безполезни CAPTCHA фермите и ботовете, които решават CAPTCHA.

Друга грижа за сигурността е, че групите за заплахи използват евтина работна ръка в тези CAPTCHA ферми, за да решават значителни количества CAPTCHA пъзели. Това е така, тъй като за нападателя е скъпо да провежда мащабни атаки за обхождане или попълване на идентификационни данни, използвайки истински, автоматизирани браузъри или автоматизирани браузъри без глави.

Намалете броя на остарелите CAPTCHA

За да изпреварите ефективно възможностите на злонамерените хакери, тайната съставка е намирането на баланса между сигурността, потребителското изживяване и неприкосновеността на личния живот на потребителите. Добавянето на едно ниво на сигурност вече не дава картбланш на компаниите или техните инструменти за сигурност да боравят с данните на потребителите, както намерят за добре.

Ясно е, че те трябва да отидат отвъд еднослойните, традиционни CAPTCHA защити и да разработят стек за сигурност, който съчетава тази технология. За да разработите ефективно CAPTCHA решение, вземете предвид тези ключови концепции:

  • CAPTCHA никога не трябва да бъде изолирана. Тя трябва да позволява прозрачност, за да можете да преглеждате фалшивите положителни и отрицателни резултати и да включва пълен цикъл за обратна връзка, за да актуализирате отговорите по подходящ начин.
  • Поверителността на данните е от първостепенно значение. Потребителите никога не трябва да се притесняват дали техните данни се събират, къде отиват и за какво се използват, когато влизат в даден уебсайт. Установено е, че традиционните CAPTCHA събират лична информация (PII) от крайните потребители, без да изясняват как и къде се използва тя. Решението за CAPTCHA трябва да е съвместимо със законите и разпоредбите за защита на личните данни в световен мащаб.
  • CAPTCHA не трябва да пречи на работата на потребителите. От дългото време за зареждане до проблемите с достъпността, традиционните CAPTCHA са печално известни като лоши за потребителското преживяване. Потърсете CAPTCHA, която се показва само при необходимост, зарежда се бързо, лесна е за хората, но трудна за ботовете, и поставя достъпността на преден план – и всичко това без компромис с точността на нейната сигурност.

Всеки може да бъде готвач с подходящите прибори

С развитието на заплахите се развиват и CAPTCHA, а с правилните мерки за сигурност организациите все още могат да надхитрят ботовете. За тази цел предприятията трябва да търсят решение със специализиран екип, който може да им помогне да адаптират стратегията си за защита (включително CAPTCHA) и който използва както възможности от страна на клиента (данни за устройството и проследяване на събития), така и от страна на сървъра (репутация, поведение и  отпечатъци).

Въпреки че CAPTCHA не са достатъчна защита от ботове сами по себе си, те могат да бъдат полезен инструмент, когато са правилно интегрирани в цялостна програма за защита от ботове и онлайн измами.

 

Източник: DARKReading

Сподели в:

Категории:

Следвай ни в: