恶意黑产已深度绑定验证码之四世虐恋
「验证码过不了怎么办?」这或许是我们在使用网站、APP时最为烦恼的问题之一。查找到验证码(CAPTCHA)是人工智能蓬勃发展之前,缓解恶意机器人对网络的侵蚀的方法,然而现在这种被曾经是聚光灯下明星的captcha码,发现其实是被黑产诈骗套路牢牢抓住的一个非常重要的入口。
尽管验证码一度被视为一种有效的安全措施,但随着技术的不断升级,黑产在反劫持和反驳问这方面也变得更加灵活。事实上,黑产与验证码之间的关系已经演变成了一段令人痛心的四世虐恋。
第一世:黑产开始绞杀验证码
早在2013年,spammers就使用了识别验证码以绕过登录框的技术。然而,这十多年来,黑客的技术不断发展,机器学习、人工智能等新技术的应用也让验证码的安全水平遭到了猛烈的质疑。有人指出,在过去一年中,有95%的验证码可以被恶意黑产轻易绕过,许多网站和APP的安全性遭到了破坏。黑产利用工具或与壹些数字货币、短信轰炸公司合作,恶意攻击网站和APP,窒息他们的正常运行以获取利益。
第二世:验证码开始成为黑产获取资金和信息的通道
黑势力已经发现了验证码的滞后性,之后他们开始依靠验证码为手段,绕开了其他的安全措施,进行恶意攻击和另类欺诈。在模拟网站的登录界面上,他们通过每个需要验证码的位置,开启了一个欺诈链接,通过见缝插针的方式,将他们的诈骗信息与大众混在一起,通过防备单一手段的特性,诱骗那些不能辨别网站真伪的个体。
第三世:验证码开始成为数据销售的入口
数据的价值也促进黑产将验证码集成到它们的诈骗阴谋之中,将一份唯一的、丰富的、现有的数据作为他们的目标。验证码已成为黑客入侵网站的桥梁。在这个阶段,黑帽现在会使用技术制造出专门针对验证码的机器人,他们会重复提交请求,获得大量数据,之后可以加以出售,或与后续的攻击程序形成协作,获取更多的收益。
总之,在网络攻击变得越来越多,地下经济和黑色市场也随之猖獗。验证码这样的核心技术已经失去了它的能力来抵御恶意的劫持和攻击。不过,一些安全专家也认为,换一种新的验证码方案是可以解决这个问题的,有效地驱逐现有的、试图攻破入侵的黑帽分子。希望早日能有一种对抗恶意验证码的新技术出现,重新让人们信任和采用这个已经被开发了十年左右的CAPTCHA技术。