Машинное обучение позволяет обойти ReCAPTCHA

Александр Панасенко 08 Апреля 2016 - 12:26

...

Машинное обучение позволяет обойти ReCAPTCHA

Исследователи из Колумбийского университета разработали автоматическую систему, которая успешно решает большинство каптч, предлагаемых сервисом Google reCAPTCHA. Такие каптчи используют тысячи сайтов, в том числе Google и Facebook.

Речь идёт о преодолении относительно свежей разновидности каптчи, для решения которой нужно выбрать из предложенного списка картинки, удовлетворяющие тому или иному требованию — например, фотографии водоёмов или сосудов с вином.

hero-recaptcha-demo

recaptcha

Задача решается в два этапа. На первом этапе система получает куки, при помощи которых Google может следить за её поведением, а затем какое-то время ведёт себя максимально человекообразно: посещает различные сайты со случайным интервалом, соблюдает суточный цикл и т.д. Это нужно для того, чтобы Google не заподозрил в ней робота. Роботам он выдаёт более сложные каптчи.

На втором этапе она разбирает каптчу и пытается понять, что изображено на предъявленных картинках. Для этого система использует несколько методов. Во-первых, она обращается к обратному поиску по изображениям в Google Images. Если поисковику известна эта картинка, он сообщает соответствующий текстовый запрос. Во-вторых, система прогоняет её через несколько классификаторов, доступных в виде бесплатных веб-сервисов или библиотек. В-третьих, она проверяет, не знакома ли ей эта картинка. Картинки, которые часто повторяются в разных каптчах, разработчики описали вручную, пишет xakep.ru.

В итоге системе удаётся подобрать текстовые описания для каждой картинки. Трудность заключается в том, что найденные описания далеко не всегда совпадают с подсказкой. Эта проблема решена при помощи ещё одного классификатора, который пытается определить соответствие между словами в описаниях и текстом подсказки.

Систему протестировали на каптчах с сайтов Google и Facebook. Гугловские каптчи удалось обойти в 70,78 процентов случаев. Каптчи с Facebook оказались ещё проще. Система побеждала их в 83,5 процентах случаев. Среднее время решения каптчи составило 19,2 секунды.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 09:14

Android Трояны Домашние пользователи

Фейковое обновление банка с GitHub оказалось Android-трояном NFCShare

Киберпреступники нашли новый способ воровать данные банковских карт владельцев Android-смартфонов, и для этого им даже не нужно устанавливать вредонос из сомнительного магазина приложений. Новые версии трояна NFCShare распространяются под видом обновлений банковских приложений на GitHub.

О вредоносной кампании сообщили исследователи компании D3Lab. По их данным, злоумышленники создают фишинговые сайты, маскирующиеся под страницы банков.

После ввода логина и пароля жертве предлагают обновить банковское приложение, скачав APK-файл из репозитория на GitHub. После установки троян показывает пользователю фальшивую страницу проверки безопасности и просит приложить банковскую карту к смартфону.

Используя NFC-модуль устройства, NFCShare считывает данные карты: номер, тип, срок действия и даже ПИН-код, который жертва вводит якобы для подтверждения операции.

Полученная информация отправляется на сервер злоумышленников через WebSocket-соединение. В дальнейшем её можно использовать в схемах, когда преступники проводят платежи удалённо, фактически используя чужую карту на расстоянии.

По данным исследователей, нынешняя кампания стартовала в середине мая. Среди подделываемых приложений фигурируют CaixaBank, Nexi, Banca Sella, Fideuram и другие финансовые организации. Ранее вредонос атаковал только клиентов Deutsche Bank в Германии, однако теперь география заметно расширилась.

Разработчики трояна продолжают совершенствовать свои инструменты. В новых версиях NFCShare появилась дополнительная защита от анализа. APK-файлы специально упаковываются с повреждённой структурой каталогов, что может вызывать ошибки у некоторых автоматических средств исследования зловредов.

Впрочем, исследователи отмечают, что такая уловка не делает вредонос неуязвимым для анализа, а лишь усложняет работу отдельных инструментов.

Эксперты рекомендуют устанавливать банковские приложения только из официального магазина Google Play, не скачивать APK-файлы по ссылкам из СМС и писем, а также крайне осторожно относиться к любым просьбам приложить банковскую карту к смартфону для проверки или подтверждения безопасности.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!