RSAC
في حلقة نقاشية في مؤتمر RSA 2021 حول هجمات الويب والاحتيال عبر الإنترنت، ناقش الباحثون الدروس المستفادة من دراسات تكتيكات المجرمين الإلكترونيين والهجمات على المؤسسات الكبرى. تحدث أحد المتحدثين، وهو ضابط إنفاذ القانون السابق دان وودز، عن خبرته في التدريب كعامل مجموعة في اختبار CAPTCHA. كان العمل غزيرًا والأجر ضئيلًا (حوالي 3 دولارات في اليوم)، لكن استنتاجه الرئيسي كان أن اختبار CAPTCHA لم يعد مناسبًا للغرض منه.
بشكل عام، في حالة إنشاء واجهة لإنسان، فلا داعي لروبوت للوصول إليها. تتواصل البرامج مع بعضها البعض من خلال واجهات برمجة التطبيقات، وليس واجهات المستخدم؛ ومن شبه المؤكد أن يكون الروبوت، الذي يحاول الوصول إلى مورد أو خدمة عبر الإنترنت من خلال واجهة مستخدم، جزءًا من محاولة استغلال.
لسنوات عديدة، شنت CAPTCHA، وهي آلية لتمييز المستخدمين البشريين عن أجهزة الكمبيوتر، حربًا بمفردها ضد الروبوتات غير القانونية. لا تزال تستخدمه العديد من الخدمات، بما في ذلك الأنظمة المصرفية عبر الإنترنت وبرامج الولاء. ولكن هل ما زلنا نثق في اختبار CAPTCHA؟
ماذا تكون مجموعة النقر؟
تشير مجموعة النقر إلى عنصر بشري في عملية الاحتيال بالنقر: حيث ينقر العديد من الأشخاص فوق الإعلانات التي تدفع مقابل كل نقرة، أو يدعمون تصنيفات البحث في صفحات الويب، أو يزيدون نسبة الإعجابات والمشاهدات وعمليات التصويت، وغير ذلك من المقاييس. اعتادت الروبوتات على النقر، غير أن استخدام خوارزميات مكافحة الاحتيال دفع المحتالين إلى إشراك أناس حقيقيين.
تتخصص بعض مجموعات النقر، مثل تلك التي عيَّنت وودز، في تقديم خدمات اختبار CAPTCHA، حيث تتولى مهام الروبوتات التي تواجه مشكلات في التحقق.
تتمثل وظيفة عامل مجموعة اختبار CAPTCHA في أداء مهام بسيطة جدًا بالنسبة إلى شخص ولكنها معقدة بشكل لا يمكن الاعتماد عليه بالنسبة إلى الآلة. يمكنهم اختيار الصور التي تحتوي على صنبور إطفاء الحرائق، أو فك رموز سلسلة مشوهة من الحروف، أو حل معادلة حسابية بسيطة للغاية، أو القيام بأي عدد من الأعمال الروتينية المماثلة.
لعلك رأيت تباينًا في موضوع هذه الصورة المتداولة عبر الإنترنت:
ميمية الإنترنت حول الروبوتات واختبار CAPTCHAs
حسنًا، إنها ليست مجرد مزحة.
هل تحتاج إلى اختبار CAPTCHA؟
لم يكن المستخدمون مغرمين على وجه التحديد بآلية CAPTCHA. هناك دائمًا مجال للخطأ: النقر بطريق الخطأ على صورة خاطئة، وفقدان صورة صنبور إطفاء الحريق في الخلفية، وفقدان حرف في مجموعة الأحرف والأرقام. حتى إذا لم يحدث أي خطأ، فإن عملية CAPTCHA سلبية تجربة المستخدم – أي أنها تقطع التدفق وتنتقص من تجربة المستخدم.
أيضًا، مجموعات CAPTCHA ليست مجرد أدوات للمحتالين ترتكز على CAPTCHA فقط. البعض، على سبيل المثال، لا يزال يحاول إنشاء ذكاء اصطناعي قادر على حل مثل هذه الألغاز. على الرغم من أنها غير كاملة، إلا أن آليات CAPTCHA تمثل طبقة أخرى من الحماية ومن ثم يبدو استخدامها منطقيًا. لكن لا شيء بهذه البساطة.
بدائل اختبار CAPTCHA
لم تعد اختبارات CAPTCHA تحمي بشكل موثوق به من الدخلاء، كما أنها تزعج المستخدمين الحقيقيين. بشكل عام، ربما حان الوقت للتخلي عن هذه الآلية التي عفا عليها الزمن.
ولكن لحسن الحظ، فإن اختبارات CAPTCHA ليست هي الوسيلة الآلية الوحيدة لتحديد ما إذا كان الإنسان أو الآلة يحاول الوصول إلى النظام. للحصول على خيار أفضل، انظر إلى المصادقة المتقدمة من Kaspersky لمنع الاحتيال التي تلغي خطوات المصادقة غير الضرورية وتخلق تجربة مستخدم سلسة.
بفضل تقنيات التعلم الآلي، تستخدم المصادقة المتقدمة تحليلًا مكثفًا لسلوك المستخدم، ومؤشرات المقاييس الحيوية السلبية، وبيانات حول الجهاز الذي يطلب شخص ما المصادقة من خلاله، وبيئته، والمزيد لاتخاذ قرار سريع وصحيح بشأن السماح للمستخدم بتسجيل الدخول أو التحقق الإضافي للأداء أو تقييد الوصول. تحدد التقنية في جوهرها بدقة ما إذا كان يتم الوصول إلى الخدمة عن طريق شخص أو جهاز.
تتوفر المزيد من التفاصيل حول الحل هنا .
النصائح