Правильная атака на каптчу

Правильная атака на каптчу
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – инструмент защиты от автоматического заполнения и отправки HTML форм, используемый большим количеством Web приложений (в том числе и на SecurityLab). Существует также большое количество проектов, занимающихся, так называемым, взломом каптчи (ссылки приводить не буду, в Google их много). Люди пишут различные парсеры картинок, пытаясь попиксельно определить изображенные символы на картинке, анализируют секретные код и т.д. Но это все очень сложно, трудоемко и не надежно, ведь каптча ориентирована на то, что именно человек распознает картинку и введет правильный код. Так почему бы для этого не использовать человека?
Pandalabs обнаружила, весьма оригинальный, вариант обхода каптчи, совместимый с социальной инжинерией:
Пользователю предлагается установить (устанавливается) десктопное приложение, которое отображает девушку, предлагающую посмотреть стриптиз.

Кто может от такого отказаться? :) Тем более, что для этого требуется лишь набрать несколько символов.


Далее вы помогаете приложению правильно распознать изображение, и, таким образом, помогаете атакующему обойти защиту каптчи.


Такое приложение определяется Pandalabs как Trj/RompeCaptchas.A.
PS респект тем, кто придумал этот вариант обхода каптчи :)
Security
Alt text

Валерий Марчук

Блог посвящен безопасности и жизни секлаба