Dos formas más fáciles de superar CAPTCHA:
- Use granjas humanas, es decir, pida a las personas que llenen CAPTCHA por dinero, tal como lo hace ProTypers.
- Use un OCR.
También puede haber un error en el mecanismo CAPTCHA o en la aplicación que lo rodea, lo que permite que alguien omita el CAPTCHA.
¡Ahora los bots pueden usar una herramienta de OCR para resolver la información o requerir que alguien resuelva la imagen inicialmente, luego de lo cual, el bot puede retener las cookies y continuar raspando!
- Quiero trabajar para el gobierno de los Estados Unidos para ayudar a combatir la guerra cibernética. ¿Qué pasos debo tomar a los 22 años sin un título para que esto suceda?
- ¿Qué antivirus deberías elegir?
- ¿Qué tan seguro es el nuevo cifrado de extremo a extremo de WhatsApp?
- ¿Cuáles son las raíces de la guerra cibernética?
- Cómo tener privacidad digital donde pueda estar seguro de que se mantiene privada
La nueva versión de reCAPTCHA también puede ser evitada por otra técnica. Esto se puede hacer utilizando la clave pública del sitio web (llamada data-sitekey). Digamos que un bot quería evitar el reCAPTCHA de un sitio web X sin dejar que un usuario (en el sitio web Y) supiera que está permitiendo que un bot lo haga. Más técnicamente, esto se llama clickjacking o ataque de reparación de UI. El bot podría usar la clave del sitio de datos del sitio web X y deshabilitar el encabezado Referer en una página web en Y donde se le pediría al usuario que resuelva reCAPTCHA.
Una vez que el usuario resuelve el CAPTCHA, la respuesta (llamada “g-recaptcha-response”) puede ser utilizada por un bot que se ejecute en segundo plano para enviar un formulario en el sitio web X. De esta manera, el bot podría engañar a Google para que piense que el resuelto La respuesta de reCAPTCHA se originó en el sitio web X (mientras que en realidad proviene de Y). Por lo tanto, el bot puede continuar el raspado en el sitio web X. Esto funciona mágicamente porque Google no valida el encabezado de referencia si el cliente lo ha deshabilitado o está vacío. Un usuario genuino acaba de contribuir a un sitio web de eliminación de bots X sin darse cuenta de que estaba siendo utilizado como una tarjeta de acceso.