F5: Ho provato a fare il risolutore umano di CAPTCHA e vi racconto cosa è successo

Dan Woods, VP di Shape Security’s Intelligence Center (F5), ha provato a “lavorare” in incognito in una click farm che risolve CAPTCHA – l’azienda russa 2Captcha – scoprendo molti aspetti interessanti di questo business e sulle modalità di lavoro dei risolutori umani di CAPTCHA, ad esempio come vengono preparati e quali sono i costi dei servizi offerti agli hacker. Vi riporto qui le sue riflessioni maturate con questo esperimento.

Dan Woods, Vice President, Shape Security Intelligence Center, F5

In passato, quando lavoravo nell’intelligence, sono stato spesso sorpreso dall’innovazione e dalla maturità dei servizi che i professionisti del crimine informatico sono in grado di sviluppare e offrire. Come responsabile dello Shape Intelligence Center, continuo a osservare con interesse l’evoluzione delle attività dei criminali e trovo assolutamente interessante sperimentare di persona come funzionano gli strumenti che utilizzano contro i nostri clienti. Un servizio chiave di cui si servono i criminali informatici è quello che permette di bypassare i CAPTCHA. In questo articolo desidero raccontare che cosa ho scoperto quando sono andato a “lavorare” in incognito in una click farm che risolve CAPTCHA.

Cosa sono i CAPTCHA?

Prima di entrare nei dettagli di questa “avventura”, prendiamoci un momento per capire cosa sono effettivamente i CAPTCHA, e come funzionano. Innanzitutto, il termine CAPTCHA non è altro che l’acronimo di “Completely Automated Public Turing test to tell Computers and Humans Apart”. I CAPTCHA sono stati implementati per la prima volta alla fine degli anni ’90 come rudimentale test di Turing inverso per supportare i siti web nel filtrare i crescenti volumi di traffico bot problematico.

Chi risolve i CAPTCHA?

Quando sono stati introdotti per la prima volta quasi vent’anni fa, i CAPTCHA fornivano una buona difesa contro gli attacchi automatici, rappresentando una barriera che le prime generazioni di bot non potevano facilmente superare. Tuttavia, i bot si sono evoluti e hanno iniziato a risolvere i CAPTCHA, e quindi i CAPTCHA stessi hanno dovuto trasformarsi e diventare sempre più complessi e difficili da risolvere per gli umani.

Anche se le tecniche alternative per bypassare i CAPTCHA in modo più rapido ed efficiente si sono decisamente evolute negli ultimi anni, la soluzione originale della click farm umana rimane la più accessibile e popolare. Un servizio di risoluzione CAPTCHA alimentato dall’uomo ruota intorno a persone reali, retribuite, che risolvono i CAPTCHA, e a fantomatici “clienti” che li acquistano. Per vedere in prima persona come funziona questo business, ho deciso di iscrivermi sia come solver di CAPTCHA che come cliente presso l’azienda russa che risolve CAPTCHA, 2Captcha.

Come entra in gioco la click farm nella risoluzione dei CAPTCHA?

Nella maggior parte dei casi, un attacco informatico automatizzato inizia quando un hacker preparato conduce una ricognizione sul sito che desidera colpire identificando la presenza del CAPTCHA. Una volta creato l’account – in questo caso con 2Captcha – il processo è il seguente:

  1. L’hacker che utilizza un bot si connette a un sito web che presenta un CAPTCHA da risolvere
  2. Il bot cattura un’immagine del CAPTCHA e la invia a 2Captcha tramite l’API di quest’ultimo
  3. 2Captcha invia l’immagine a uno o più individui umani per risolverla
  4. 2Captcha rimanda il CAPTCHA risolto al bot tramite l’API
  5. Il bot invia il CAPTCHA risolto correttamente al sito web
  6. Il sito web categorizza erroneamente il bot come umano e gli permette di procedere

Per i reCAPTCHA (un sistema CAPTCHA che permette agli host web di distinguere tra accesso umano e automatico al sito), il processo per aggirare il CAPTCHA è leggermente diverso, ma comunque piuttosto simile.

ll business dei risolutori umani di CAPTCHA

Per molti aspetti, i servizi di risoluzione CAPTCHA operano come qualsiasi altra azienda, con l’obiettivo di realizzare un profitto, sviluppando un modello di business spesso conveniente per i “clienti” (ovvero gli hacker che li acquistano) ma che non crea grandi margini di profitto per chi risolve i CAPTCHA .

Chiedersi se tutto questo sia illegale è assolutamente naturale. La risposta è: non del tutto, ma risolvere un CAPTCHA non è come hackerare un server o prendere il controllo di un account. Può certamente essere considerato una violazione dei termini di servizio di un sito, e può essere sinonimo di complicità rispetto a un atto criminale (ad esempio, l’infiltrazione di credenziali), ma, di fatto, è chi utilizza il servizio di risoluzione CAPTCHA il vero colpevole, mentre il servizio stesso può sostenere di essere all’oscuro delle intenzioni dei suoi clienti.

Quanto costa il servizio?

2Captcha applica ai clienti tariffe diverse a seconda del tipo di CAPTCHA risolti che desiderano acquistare. 1.000 CAPTCHA tradizionali, ad esempio, costano 0,75 dollari. In confronto, 1.000 reCAPTCHA risolti costano ai clienti 2,99 dollari, quasi il quadruplo rispetto ai CAPTCHA tradizionali (Figura 1).

Figura 1. I “clienti” (ovvero gli attori malevoli) pagano quasi quattro volte di più per i reCAPTCHA risolti rispetto ai CAPTCHA tradizionali.

Se guardiamo le statistiche aggiuntive mostrate in Figura 1, possiamo osservare che velocità di risoluzione, carico di servizio e il numero dei lavoratori online rappresentano un valore aggiunto.

Diventare un solver di CAPTCHA

Diventare un risolutore umano di CAPTCHA è, in realtà, una delle cose più facili che abbia mai fatto. Ho creato un mio account fornendo semplicemente un alias di posta elettronica. Il sito web ha un’interfaccia decisamente user-friendly e intuitiva, con istruzioni chiare, e, come potete vedere nelle immagini seguenti, tutorial e suggerimenti per risolvere i CAPTCHA.

Figura 2. Il training per i solver fornisce esempi e suggerimenti per risolvere i CAPTCHA tradizionali.

La retribuzione (irrisoria) dei solver di CAPTCHA

Il lavoro effettivo è piuttosto noioso, come ci si potrebbe aspettare, ma l’ho affrontato. Come vedete in Figura 3, sono alle prese con un CAPTCHA tradizionale. In questa sessione ho risolto 22 CAPTCHA guadagnando solo 0,00665 dollari!

Figura 3. A mano a mano che i CAPTCHA tradizionali vengono risolti, lo schermo mostra i guadagni attuali e il numero di CAPTCHA risolti.

Ad aprile 2021 la retribuzione di 2Captcha destinata ai solver era di 0,30 dollari per 1.000 CAPTCHA tradizionali e 1,01 dollari per 1.000 ReCAPTCHA: entrambe frazioni veramente irrisorie (4% per i CAPTCHA tradizionali e 3,4% per i reCAPTCHA) rispetto a quello che i “clienti” hacker pagano a 2Captcha. Stando a questi numeri, risolutori CAPTCHA che lavorano 11 ore al giorno senza sosta – il che è del tutto irrealistico – guadagnerebbero solo 1,20 dollari al giorno per i CAPTCHA tradizionali e $2.02 per i reCAPTCHA più complessi.

È sorprendente infine notare come questi servizi piuttosto “torbidi” siano spesso noti per fornire un eccellente supporto ai clienti, e anche 2Captcha non fa eccezione. Oltre all’interfaccia user-friendly e all’abbondanza di training offerti, 2Captcha mette a disposizione degli utenti ampie pagine di supporto e FAQ, e alcune aziende di solver forniscono anche supporto telefonico!

Conclusione

Ecco quindi spiegato qual è lavoro di un solver di CAPTCHA umano, spesso purtroppo fonte di reddito per molte persone in tutto il mondo. Servizi di questo tipo, lo ripetiamo, sono convenienti e ampiamente utilizzati dagli hacker. Come risultato, i CAPTCHA oggi rappresentano solo un piccolo ostacolo per gli aggressori motivati, mentre introducono un notevole attrito per gli user legittimi. Nonostante questo, molte aziende fanno ancora affidamento su queste soluzioni di sicurezza, sottoponendo spesso i clienti a un test CAPTCHA per ogni interazione significativa. I criminali informatici e le economie parallele sottostanti che li bersagliano sono innovativi e non si fermano di certo davanti a CAPTCHA presenti da quasi vent’anni e che, senza più fornire barriere di difesa