Cyberthreat.id - Peneliti keamanan dunia maya memperingatkan tentang layanan pelanggar CAPTCHA yang ditawarkan untuk dijual ke sistem bypass yang dirancang untuk membedakan pengguna yang sah dari lalu lintas bot. Demikian laporan The Hacker News.

CAPTCHA – kependekan dari Completely Automated Public Turing test to tell Computers and Humans Apart – adalah alat untuk membedakan pengguna manusia nyata dari pengguna otomatis dengan tujuan memerangi spam dan membatasi pembuatan akun palsu.

"Karena penjahat dunia maya sangat ingin memecahkan CAPTCHA secara akurat, beberapa layanan yang terutama ditujukan untuk permintaan pasar ini telah dibuat," kata Trend Micro dalam laporan yang diterbitkan minggu lalu sebagaimana disadur The Hacker News.

"Layanan pemecahan CAPTCHA ini tidak menggunakan teknik [pengenalan karakter optik] atau metode pembelajaran mesin tingkat lanjut; sebaliknya, mereka memecahkan CAPTCHA dengan menyebarkan tugas pemecahan CAPTCHA ke pemecah manusia yang sebenarnya."

Meskipun mekanisme CAPTCHA dapat mengganggu pengalaman pengguna, mekanisme tersebut dipandang sebagai cara yang efektif untuk melawan serangan dari lalu lintas web yang berasal dari bot.

Layanan penyelesaian CAPTCHA ilegal bekerja dengan menyalurkan permintaan yang dikirim oleh pelanggan dan mendelegasikannya ke pemecah manusia mereka, yang menyelesaikan solusi dan mengirimkan hasilnya kembali ke pengguna.

Ini, pada gilirannya, dicapai dengan memanggil API untuk mengirimkan CAPTCHA dan meminta API kedua untuk mendapatkan hasilnya.

"Hal ini memudahkan pelanggan layanan pemecah CAPTCHA untuk mengembangkan alat otomatis terhadap layanan web online," kata peneliti keamanan Joey Costoya. "Dan karena manusia sebenarnya memecahkan CAPTCHA, tujuan memfilter lalu lintas bot otomatis melalui pengujian ini menjadi tidak efektif."

Bukan itu saja. Pelaku ancaman telah diamati membeli layanan pembobol CAPTCHA dan menggabungkannya dengan penawaran proxyware untuk mengaburkan alamat IP asal dan menghindari penghalang antibot.

Proxyware, meskipun dipasarkan sebagai utilitas untuk berbagi bandwidth internet pengguna yang tidak terpakai dengan pihak lain dengan imbalan "penghasilan pasif", pada dasarnya mengubah perangkat yang menjalankannya menjadi proxy perumahan.

Dalam salah satu contoh layanan pemecah CAPTCHA yang menargetkan pasar perdagangan sosial populer Poshmark, permintaan tugas yang berasal dari bot dialihkan melalui jaringan proxyware.

"CAPTCHA adalah alat umum yang digunakan untuk mencegah penyalahgunaan spam dan bot, tetapi meningkatnya penggunaan layanan pelanggar CAPTCHA membuat CAPTCHA kurang efektif," kata Costoya. "Sementara layanan web online dapat memblokir IP asal pelaku, peningkatan adopsi proxyware menjadikan metode ini tidak bergigi seperti CAPTCHA."

Untuk mengurangi risiko tersebut, layanan web online disarankan untuk melengkapi CAPTCHA dan daftar blokir IP dengan alat anti-penyalahgunaan lainnya.[]