網路資安威脅
當駭客用真人破解 CAPTCHA 驗證
今日線上服務網站有一項必要安全措施就是:確定來訪的真人、而非自動化機器人。這麼做可以讓網站過濾垃圾郵件、未經授權的網站爬梳、大量的假帳號註冊、回應及評論,以及最重要的,來自殭屍網路大軍的攻擊。其中最常被用來過濾自動化機器人的工具就是用來辨別電腦和真人的全自動化公開圖靈測驗 (CAPTCHA) 驗證。
本文引述三個研究案例說明駭客如何利用在地代理器 (residential proxy) 與 CAPTCHA 破解服務,來避開線上服務網站的反垃圾郵件、反機器人與反濫用措施。
今日線上服務網站有一項必要安全措施就是:確定來訪的真人、而非自動化機器人。這麼做可以讓網站過濾垃圾郵件、未經授權的網站爬梳、大量的假帳號註冊、回應及評論,以及最重要的,來自殭屍網路大軍的攻擊。其中最常被用來過濾自動化機器人的工具就是用來辨別電腦和真人的全自動化公開圖靈測驗 (CAPTCHA) 驗證。
CAPTCHA 是一種「質詢/應答」驗證,理論上只有真人能通過驗證。一些常見的 CAPTCHA 驗證會在一張含有紋路的背景圖案上顯示一些扭曲的數字和英文字母,然後要求使用者將圖中所顯示的數字和字母輸入到一個文字方塊中。今日還出現了一些進階版的 CAPTCHA 驗證,要求使用者從一些方形圖片中找出某種物件,例如:交通號誌、汽車等等。
簡單的 CAPTCHA (例如只包含數字和字母) 有時可利用光學辨識 (OCR) 技巧加以破解,而較難的 CAPTCHA (例如扭曲的字元) 也可以被採用機器學習 (ML) 技術的自動化解謎程式破解。為了反制這些 CAPTCHA 破解技巧,一些更進階的 CAPTCHA 驗證已被開發出來,包括:在一個網格當中找出某些物體,或是將某個物體旋轉至正確的位置。但假使駭客在破解 CAPTCHA 驗證時使用的不是機器人而是真人,那麼線上服務業者將面臨截然不同的挑戰。
CAPTCHA 破解服務的興起
由於網路犯罪集團非常熱切地想要破解 CAPTCHA 驗證,因而造就了不少專門針對這項需求的服務興起。這些 CAPTCHA 破解服務並非使用 OCR 技巧或進階機器學習方法,而是透過大量廉價勞工所組成的 CAPTCHA 破解農場。
這些 CAPTCHA 破解服務的工作流程非常簡單:
- 客戶將這個 CAPTCHA 驗證發送至 CAPTCHA 破解服務。
- CAPTCHA 破解服務將工作分派到農場中的工人。
- 工人解出 CAPTCHA 的答案,將答案傳回給客戶。
- 客戶收到 CAPTCHA 的解答。
對於使用 CAPTCHA 破解服務的客戶來說,只須透過簡單的 API 呼叫就能存取這套工作流程。客戶不必擔心要如何將 CAPTCHA 破解工作分派給農場的工人,只需呼叫 API 來提交 CAPTCHA,然後再呼叫另一個 API 來取得 CAPTCHA 的解答。
https://captcha-solving-service.com/in.php?key=APIKEY&method=userrecaptcha&googlekey=6Le_xxxxxx__mJ
&pageurl=https://target.domain/homepage.html
OK|01234567890
OK|CAPTCHA_SOLUTION_HASHES
對 CAPTCHA 破解服務的客戶來說,這可以讓他們很容易針對線上服務網站開發出自動化工具。而且也因為採用真人來破解 CAPTCHA,所以這類原本用來過濾掉自動化機器人的驗證便失去作用。
然而,線上服務網站不會只單靠 CAPTCHA 來防範自動化機器人,他們還會透過其他手段,例如 IP 位址黑名單。不過,經營機器人的集團也有不少方法可以避開 IP 位址黑名單的阻擋,其中,使用代理器軟體就是一個熱門選項。
使用代理器軟體來隱藏原始 IP 位址
代理器軟體 (Proxyware) 是一種有潛在風險的免費工具軟體。這類應用程式會將使用者的電腦暗中變成一個代理器 (proxy) 節點,這些代理器節點會構成一個分散式代理器網路。
由於這些代理器節點 (也就是透過在地寬頻服務連上網際網路的使用者電腦) 有可能傳遞一些非法網站的流量,所以代理器軟體可能會讓使用者暴露在資安風險與網路威脅當中。
經營這類分散式全球代理器網路的集團,通常會將他們的代理器服務包裝成在地代理器來公開販售。我們已觀察到有些駭客集團會購買這類代理器服務,然後再搭配 CAPTCHA 破解服務來避開各種線上服務網站的反垃圾郵件、反機器人及反濫用措施。圖 1 顯示一些經常被 CAPTCHA 破解服務所針對的網站,以下引用其中三個知名的案例來做說明。
個案研究 1:Poshmark
Poshmark 是一個相當受歡迎的社群市集,使用者可在上面買賣各種時尚、家用及電子產品。它結合了社群媒體的功能來鼓勵使用者之間彼此互動,進而促進買氣。
有些賣家擅長推銷自己的 Poshmark 店面,自然就比較會賺錢,其金額從每月數百美元至上千美元不等。Poshmark 賣家又稱為「Poshers」,他們可透過各式各樣的工具來促銷自己的店面以吸引買家。這些工具能將 Poshmark 上的許多促銷作業自動化,例如分享店面、分享刊登物品、交互分享與追蹤。值得注意的是,這些自動化機器人活動會觸發 Poshmark 的反濫用安全機制,進而被要求執行 CAPTCHA 驗證。
因此,這些 Poshmark 機器人最重要的一項能力當然就是破解 CAPTCHA。這些機器人必須內建破解 CAPTCHA 的能力,否則 Poshmark 促銷作業的自動化程度就會大打折扣。甚至有一些網站專門評比各種 Poshmark 機器人的能力,並根據其能力優劣來加以排名。
根據我們觀察,這其中有不少的 CAPTCHA 破解請求是發送到一個已知的 CAPTCHA 破解服務,該服務就是專門破解 Poshmark 網站的 CAPTCHA。從我們蒐集到的資料來看,這些 CAPTCHA 破解請求的來源是一個已知的 Poshmark 機器人。
更有趣的一點是,這些 CAPTCHA 破解請求都是繞經某個代理器網路。除了透過自動化方式破解 CAPTCHA 之外,Poshmark 機器人經營者還會使用代理器軟體工具來進一步隱藏他們的原始 IP 位址,這麼做可以讓他們更容易避開反垃圾郵件機制的偵測。
在這個案例中,駭客使用了「Poshmark Pro Tools」這個被 Poshmark 封鎖的廣告工具。這個付費工具可用來促銷使用者在 Poshmark 賣場中的衣服、鞋子、配件,提高使用者競標的機率。為了封鎖這類自動化促銷工具,Poshmark 採取了 reCAPTCHA 來確保唯有真人 (而非機器人) 可以促銷自己的商品。但 Poshmark Pro Tools 也採用了 2Captcha CAPTCHA 破解服務來破解 reCAPTCHA 驗證來避免機器人被擋掉。
個案研究 2:Murakami.Flowers NFT
Murakami.Flowers 是知名藝術家 Takashi Murakami (村上隆) 所發行的一套 NFT。這套 NFT 的販售會是在 2022 年 4 月舉行,僅限預先註冊的使用者參加,其特殊之處在於該名藝術家相當有名,而且這套 NFT 也相對稀少。
為了盡可能做到公平,並讓所有潛在買家都有機會購買 Mukramami.Flowers NFT,承辦單位特地制定了以下規則:
- NFT 收藏家必須在 Murakami.Flowers 網站上註冊自己的電子郵件地址。
- 每位 NFT 收藏家在註冊之後都會收到一封電子郵件,裡面含有一個網站連結可用來註冊自己的錢包和使用者名稱。
- 錢包與使用者名稱的註冊記錄將作為 NFT 收藏家的摸彩券,讓所有 NFT 收藏家都有公平的機會來鑄造或購買 Murakami.Flowers NFT。
NFT 在公開鑄造之後,也可以在次級市場流通。
甚至在還沒公開抽獎之前,我們就已觀察到不少 CAPTCHA 破解活動 (如圖 3 當中的紅色數字),這些主要是針對 Murakami.Flowers 的電子郵件註冊網站。不僅如此,就像 Poshmark 的案例,這些 CAPTCHA 破解活動也使用同一個 CAPTCHA 破解服務。而且如同 Poshmark 的案例,這些 CAPTCHA 破解活動也都採用了代理器軟體工具來掩蓋歹徒的原始 IP 位址。
這裡必須說明一下,我們沒有辦法找出 Murakami.Flowers 的濫用者。但我們相信濫用者的目的是希望註冊參加抽獎,以便以較低的價格 (0.108 元乙太幣) 購買這套 NFT。濫用者很可能是想要轉售這套 NFT,其價格先前已飆漲至 5 元乙太幣,所以有高達 50 倍的利潤空間。
個案研究 3:極大化賺取加密貨幣水龍頭提供的報酬
加密貨幣水龍頭 是一種可讓使用者執行一些簡單工作就能換取小額虛擬加密貨幣作為報酬的應用程式或網站。這些工作通常相當單純,例如:閱讀文章、觀看影片、觀看廣告、玩遊戲或參加測驗。值得注意的是,這些工作有時存在著風險,尤其是要求使用者點選某個連結或廣告,甚至是解答 CAPTCHA 驗證。
有些人為了極大化賺取加密貨幣水龍頭提供的報酬,會利用市場上可取得的機器人來將加密貨幣水龍頭要求的工作自動化。不過,加密貨幣水龍頭網站通常會設置一些反制措施來防範疑似機器人的行為,例如在網站上加入 CAPTCHA 驗證。此時 CAPTCHA 破解服務就能派上用場。
我們已觀察到一些破解已知加密貨幣水龍頭網站 CAPTCHA 驗證的活動。根據觀察,這些 CAPTCHA 破解流量主要針對登入頁面,也就是大多數 CAPTCHA 驗證所在之處。不僅如此,從我們觀察到的網站流量也顯示歹徒使用了機器人,這一點從流量的頻率和特性就能判斷。
結論
CAPTCHA 是用來防止垃圾郵件和機器人的常見工具,然而由於 CAPTCHA 破解服務的逐漸普及,已使得 CAPTCHA 驗證失去作用。儘管線上服務網站還可根據 IP 位址來封鎖濫用者,但代理器軟體的興起,也讓這方法跟 CAPTCHA 一樣失去意義。
這正是為何線上服務網站除了使用 CAPTCHA 和封鎖 IP 之外,還必須採用其他防止濫用的措施。儘管上述工具還是能依照其設計目的運作,但網路犯罪集團只需單純付費購買 CAPTCHA 破解服務就能對付這些工具。隨著這類服務的價格越來越親民,對駭客來說也會更具吸引力。所以,是時候該採用其他更嚴格的措施來補強 CAPTCHA 和封鎖 IP 的作法了。至於該採用什麼資安措施,我們將在即將發表的一份報告中詳細說明。
原文出處:Abusing Web Services Using Automated CAPTCHA-Breaking Services and Residential Proxies