Машинное обучение позволяет обойти ReCAPTCHA

Александр Панасенко 08 Апреля 2016 - 12:26

...

Исследователи из Колумбийского университета разработали автоматическую систему, которая успешно решает большинство каптч, предлагаемых сервисом Google reCAPTCHA. Такие каптчи используют тысячи сайтов, в том числе Google и Facebook.

Речь идёт о преодолении относительно свежей разновидности каптчи, для решения которой нужно выбрать из предложенного списка картинки, удовлетворяющие тому или иному требованию — например, фотографии водоёмов или сосудов с вином.

hero-recaptcha-demo

recaptcha

Задача решается в два этапа. На первом этапе система получает куки, при помощи которых Google может следить за её поведением, а затем какое-то время ведёт себя максимально человекообразно: посещает различные сайты со случайным интервалом, соблюдает суточный цикл и т.д. Это нужно для того, чтобы Google не заподозрил в ней робота. Роботам он выдаёт более сложные каптчи.

На втором этапе она разбирает каптчу и пытается понять, что изображено на предъявленных картинках. Для этого система использует несколько методов. Во-первых, она обращается к обратному поиску по изображениям в Google Images. Если поисковику известна эта картинка, он сообщает соответствующий текстовый запрос. Во-вторых, система прогоняет её через несколько классификаторов, доступных в виде бесплатных веб-сервисов или библиотек. В-третьих, она проверяет, не знакома ли ей эта картинка. Картинки, которые часто повторяются в разных каптчах, разработчики описали вручную, пишет xakep.ru.

В итоге системе удаётся подобрать текстовые описания для каждой картинки. Трудность заключается в том, что найденные описания далеко не всегда совпадают с подсказкой. Эта проблема решена при помощи ещё одного классификатора, который пытается определить соответствие между словами в описаниях и текстом подсказки.

Систему протестировали на каптчах с сайтов Google и Facebook. Гугловские каптчи удалось обойти в 70,78 процентов случаев. Каптчи с Facebook оказались ещё проще. Система побеждала их в 83,5 процентах случаев. Среднее время решения каптчи составило 19,2 секунды.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 19 Сентября 2025 - 09:08

Мошенничество Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи F6

Новая афера: дипфейки и фейковые сайты обманывают семьи бойцов СВО

Специалисты выявили новую схему обмана, рассчитанную на участников спецоперации, ветеранов и их семьи. Злоумышленники создают сайты, внешне копирующие благотворительные фонды. На этих ресурсах обещают «поддержку» — якобы выплаты до 500 тысяч рублей ежемесячно в рамках несуществующей инвестиционной программы.

Чтобы придать видимость правдоподобия, аферисты заявляют, что программа «создана по приказу президента» и что «участники уже получают выплаты». На сайтах размещают фальшивые отзывы, в том числе видеодипфейки, где реальные кадры бойцов озвучены чужими голосами.

Потенциальным жертвам предлагают вложить от 50 тысяч рублей и обещают доходность «от 21% в месяц». На сайтах размещают «калькулятор прибыли» и форму для заявки, где нужно указать имя и телефон. После этого жертве звонит «персональный менеджер» из кол-центра мошенников.

На деле цель схемы — получить деньги и персональные данные. Пользователю могут предложить установить вредоносное приложение «для открытия вклада» или отправить сканы документов «для верификации». В результате злоумышленники получают полный контроль над устройством и доступ к банковским счетам.

Эксперты отмечают, что такие атаки могут быть как целевыми, так и массовыми. Некоторые сайты-двойники уже индексируются в поисковых системах, а домены связаны с другими схемами инвестмошенничества.

Подобные аферы с «поддержкой бойцов и их семей» фиксируются с 2022 года. Мошенники используют разные сценарии: от фейковых выплат и приложений до общения в мессенджерах под видом волонтёров. Часто они действуют в долгую — общаются в соцсетях месяцами, чтобы войти в доверие, и только потом присылают ссылки на поддельные сайты.

Как не попасться на уловку: