O Captcha está morto?

Em um painel de discussão na RSA Conference 2021 sobre ataques na Web e fraudes online, os pesquisadores discutiram lições extraídas de estudos de táticas cibercriminosas e ataques a grandes organizações. Um palestrante, o ex-policial Dan Woods, falou sobre sua experiência em treinamento como trabalhador rural CAPTCHA. O trabalho era copioso e o salário mínimo (cerca de US $ 3 por dia), mas sua principal lição foi que o CAPTCHA não é mais adequado para seu propósito.

De modo geral, se uma interface é criada para um humano, não há necessidade de um bot para acessá-la. Os programas se comunicam por meio de APIs, não de interfaces de usuário; um bot tentando acessar um recurso ou serviço online por meio de uma interface de usuário é quase certamente parte de uma tentativa de exploração.

Por muitos anos, CAPTCHA, um mecanismo para distinguir usuários humanos de computadores, travou uma guerra solitária contra bots ilegais. Muitos serviços, incluindo sistemas de banco online e programas de fidelidade, ainda o utilizam. Mas ainda podemos confiar no CAPTCHA?

O que é um click farm?

Click farm refere-se ao elemento humano da fraude de cliques : muitas pessoas clicando em anúncios que pagam por clique, ou aumentando as classificações de pesquisa de uma página da Web, ou aumentando curtidas, visualizações, votos e outras métricas. Os bots costumavam clicar, mas o uso de algoritmos antifraude levou os golpistas a envolver pessoas reais.

Alguns click farms, como o que contratou Woods, se especializam em serviços CAPTCHA, assumindo o controle de bots que encontram problemas de verificação.

O trabalho do trabalhador rural CAPTCHA é realizar tarefas que são muito simples para uma pessoa, mas complexas para uma máquina. Eles podem selecionar imagens com um hidrante, decifrar uma sequência distorcida de letras, resolver uma equação aritmética muito simples ou fazer qualquer outra tarefa semelhante.

Você precisa do CAPTCHA?

Os usuários nunca gostaram muito do mecanismo CAPTCHA. Sempre há espaço para erros: clicar acidentalmente na imagem errada, perder um hidrante escondido no fundo, perder um caractere na confusão de letras e números. Mesmo se nada der errado, o processo CAPTCHA é UX negativo - ou seja, ele perturba o fluxo e prejudica a experiência do usuário.

Além disso, os farms CAPTCHA não são apenas ferramentas de golpistas focados em CAPTCHA. Alguns, por exemplo, ainda estão tentando criar uma IA capaz de resolver esses enigmas. Por mais imperfeito que seja, os mecanismos CAPTCHA representam mais uma camada de proteção e, portanto, usá-los parece sensato. Mas nada é tão simples.

Alternativas CAPTCHA

Os CAPTCHAs não oferecem mais proteção confiável contra intrusos e incomodam os usuários reais. De modo geral, provavelmente é hora de abandonar esse mecanismo obsoleto.

Felizmente, porém, os CAPTCHAs não são os únicos meios automatizados para determinar se um ser humano ou uma máquina está tentando acessar o sistema.

Graças às tecnologias de aprendizado de máquina, a Autenticação Avançada usa extensa análise do comportamento do usuário, indicadores biométricos passivos, dados sobre o dispositivo do qual alguém está solicitando autenticação, seu ambiente e muito mais para decidir rápida e corretamente se permite que o usuário faça login, execute verificação adicional ou acesso restrito. Em seu cerne, a tecnologia determina com precisão se o serviço está sendo acessado por uma pessoa ou uma máquina.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.