Американская компания заявила о взломе «капча»-теста

Американская компания заявила о взломе «капча»-теста

Американская компания Vicarious заявила о создании алгоритма, который способен справиться с 90 процентами заданий, входящих в CAPTCHA, — автоматизированный тест Тьюринга, позволяющий отличить программу от человека. О методе уже написали в ScienceNow, Forbes и MIT Technology Review.

Автоматизированный тест Тьюринга, он же CAPTCHA, представляет собой набор заданий, который призван отличить зашедшего на сайт человека от вредоносной программы («робота»). Наиболее распространенным, хотя и не единственным вариантом «капчи» является изображение букв или цифр, которые надо правильно распознать и ввести в контрольное поле. Система используется в сервисах онлайн-отправки SMS, интернет-магазинах и на сайтах, подразумевающих возможность отправки комментариев, сообщает lenta.ru.

По словам авторов алгоритма, им удалось найти общий способ работы с наиболее распространенной текстовой разновидностью теста. Разработчики программы утверждают, что она успешно справляется с распознаванием изображений на текстовых CAPTCHA. Усиление искажений и добавление на картинки "шума" не влияет на результат. Демонстрация работы программы приводится в видеоролике, но технических подробностей относительно работы алгоритма представители Vicarious не приводят.

Новая программа пока не может справиться с тестами на основе кириллицы и других нелатинских символов. Также она не способна распознать изображения на шахматном фоне.

По словам создателя CAPTCHA, Луиса Ван Анна, «это примерно пятидесятое заявление подобного рода. Но даже если они и научились распознавать текст, то мы просто перейдем на картинки иного рода».

Текстовые CAPTCHA имеют несколько альтернатив: от простой галочки «я не робот» до перечня картинок, из которых нужно выбрать правильную (например «укажите Эйнштейна»). В свою очередь злоумышленники умеют обходить автоматизированные тесты методом переноса кода на другой сайт с большой посещаемостью. Пользователи самостоятельно распознают изображение, после чего правильный ответ используется на интересующем злоумышленников сайте — в данном случае тест Тьюринга бесполезен в принципе. Такой способ взлома капчи известен уже около десяти лет.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru