Web

Как обойти reCAPTCHA от Google. Самые простые методы и их реализация

Lorem ipsum dolor

Все мы понимаем и осознаем, для чего придумана рекапча. Но согласитесь, иногда она реально достает, поэтому рано или поздно почти перед каждым встает вопрос, как обойти рекапчу. Как оказалось, обход рекапчи не так уж и сложен. Обойти возможно даже капчу от такой компании, как Google, при их-то возможностях… 

 

Как обойти reCAPTCHA?

Условно обойти рекапчу возможно двумя проверенными путями:

  1. можно использовать ее особенные и слабоватые места;
  2. можно применить новейшие технологии обхода рекапчи.

 

Помимо путей, обход рекапчи можно разделить еще и на несколько способов осуществления. То есть в том или ином пути можно использовать разные способы. Три самых популярных способа, чтобы осуществить обход рекапчи:

  1. «взламывать» непосредственно «ручками», то есть изучается, как реализована конкретная капча; изучаются способы, как обойти рекапчу, и реализуется самостоятельно;
  2. можно применять специализированные программы, чтобы осуществить «обход» рекапчи, то есть за вас уже «подумали» и создали ботов, которые способны массово и автоматизировано атаковать по несколько похожих сайтов, созданных на одинаковой платформе и использующих одинаковую капчу; таким образом подбираются «ключи» ко всем схожим сайтам и появляется возможность обойти рекапчу на них;
  3. как это ни странно, но путем использования «труда» реальных людей тоже можно обойти рекапчу.

 

Чаще всего любые вероятные обходы «рекапчи» проводят сначала вручную. А потом, если все складывается удачно, есть вероятность запуска массовых ботов. Сам процесс взлома обычно нацеливают на конкретную реализацию капчи, а не на все их разновидности сразу. Ведь, как вы знаете, хотя лидером в реализации капчи является Google reCaptcha, есть масса других вариантов.

Иногда нужно массово обойти рекапчу, но с применением программ это не получается, как тогда можно это сделать? В таких случаях, как упоминалось выше, используется банальная эксплуатация людей, вернее, только их труда. То есть идет перенаправление людей на нужные сайты для ввода капчи. Люди решают капчу, а все полученные данные перенаправляются хакеру (если можно так его назвать) в онлайн-режиме. Далее происходит банальный сбор «решений» и построение программного обеспечения на основе этих «решений» для автоматизации процесса.

 

Самые распространенные варианты, как обойти reCAPTCHA

Условно можно отсортировать варианты, как обойти рекапчу, на несколько направлений. Остро выделяются два:

  1. взлом защитника при использовании ошибок разработчиков при его создании;
  2. использование новейших технологий для преодоления и решения рекапчи.

Представьте себе, но в откровенной беседе с разработчиками защитников, если их спросить:«Как обойти рекапча, они точно сами расскажут вам про несколько вариаций. Все мы люди, поэтому даже при разработке серьезного продукта возможен человеческий фактор. Банальная невнимательность к деталям приводит к тому, что в капчах появляются бреши, через которые можно их обойти. Естественно, вам в беседе ни один разработчик о них не скажет, но если вы заинтересованы в их обходе, значит, вам нужно найти эти бреши и применять их по своему усмотрению.

 

Самые распространенные вариации обхода reCAPTCHA из-за недоработок программистов:

  1. Обойти рекапчу, используя фиксированный набор задач. Когда-то самописная реализация капчи на своем сайте была очень популярным занятием. Различные вариации «лепились» повсеместно как опытными, так и малоопытными разработчиками. И получалось так, что редко кто задумывался о большой базе задач, вопросов или изображений, которые нужно было решать внутри капчи. И все, что было нужно, — определить «эту» базу, которая использовалась капчей. Делалось это «ручным» трудом с использованием сторонних пользователей (об этом мы уже говорили выше). Потом на такую базу составлялся скрипт-бот с использованием правильных решений, и все. Дальше уже запускался бот, и можно было легко атаковать сайты, использующие именно это капчу. Применение таких методов защиты своего сайта практически сведено к нулю, но все же изредка, - встречаются «умельцы», которые пишут себе такие, простенькие для обхода, капчи.
  2. Создание сессий, чтобы совершить обход рекапчи. Бывает такое, что само исполнение капчи выполняет сохранение верного ответа внутри сессии. А она сама не исполняется вновь после вводимого ответа пользователем. В этом случае любые «желающие» имеют возможность отследить идентификатор сессии и разузнать истинное значение капчи. Опять же, собирая такие значения, можно вычислить алгоритм, как работает шифрование рекапчи и, соответственно, найти возможность его обхода. На основе полученных данных разрабатывается бот, который потом может использоваться для атак на сайты с подобной капчей.
  3. Обход рекапчи из-за информации, содержащейся непосредственно в коде. Это случай качественной реализации защиты, но с «ложкой дегтя» из-за невнимательности самого разработчика. Этот недочет и имеет применение. То есть в некотором исполнении капчи при переадресации ее значения на сервера, она дополняется информацией: IP пользователя, ID сессии или просто уникальной последовательностью разнообразных знаков. В данном случае решением для прохождения защиты считается полное совпадение значения капчи от юзеров с ее истинным значением, созданным и записанным внутри самой сессии. Но при этом учитываются еще дополнительные данные (ID, IP), чтобы совпадало не только значение капчи, но и идентификация сессии или компьютера, на котором была впервые показана эта капча. Подобная защита от ботов реально достойна. Однако встречается ее некачественное исполнение, когда эти дополнительные значения можно легко «вытащить» непосредственно из HTML-кода страницы. Таким образом, можно легко настроить своего бота, чтобы для обхода рекапчи он считывал дополнительные значения и отправлял на сервер весь набор значений для прохождения капчи.
  4. Обход рекапчи, не изменяя IP. Часто реализация защиты происходит без фиксирования попыток на количество возможных решений и без фиксирования ограничения по времени. В этом случае поможет бот, который просто будет очень быстро перебирать возможные правильные решения в поисках истинного. terasos stiklinimas ir sulankstomos durys При этом можно использовать скрипт-робот, который будет не только перебирать, а еще и обучаться и накапливать опыт.
  5. Обход рекапчи при использовании proxy. Это один из самых актуальных вариантов, как обойти рекапчу. Как вы знаете, так сложилось, что современная «безопасность» имеет возможность ограничить количество вводов капчи по времени или вообще блокировать определенный IP-адрес. Тут и приходят на помощь уже всем известные proxy-сервера. Ведь с их возможностями и при должной настройке можно легко «зашифровать» своего бота или свой комп, чтобы он полностью «проходил» контроль безопасности. А если все же на сайте происходит вывод капчи, то при своевременной смене IP и при правильном тайм-ауте можно научить своего бота искать истинное выполнение защитника столько времени, сколько на это понадобится. Такой способ, к примеру, получается использовать на сайте ВКонтакте, где капча выводится при определенном количестве однообразных действий с одного IP.
  6. Эмуляторы работы для обхода рекапчи. Бывает определенный вид защиты, когда для ее преодоления нужно выполнить какое-то действие — нажать на кнопочку, перенести ползунок и т.д. Тут как раз и может помочь имитирование подобных действий. Все, что нужно для этого сделать, — это найти координаты расположения относительно других элементов нужного элемента для управления им при помощи бота.

 

Новейшие технологии, используемые для обхода reCAPTCHA

Места, где возможно обойти рекапчу из-за ошибок и недоработок программистов, мы указали выше. Однако многие современные средства защиты от ботов тоже знают о них и стараются не допускать в своих проектах. Но это не значит, что такие рекапчи невозможно обойти, нужно только знать, как это делается.

Развитие программных технологий не стоит на месте — это известный факт. Люди создают нейронные сети, искусственный интеллект, мощное программное обеспечение. Но не всегда это служит только во благо. Поэтому довольно часто современные технологии используются и для того, чтобы обойти рекапчу. 

Перечислим несколько популярных методов:

  1. OCR — обход рекапчи. Этот принцип подразумевает использование возможностей современных скриптов распознавать текст или изображение на картинке. То есть ваш бот, используя подобные скрипты, самостоятельно будет распознавать, что нужно ввести в поле рекапчи или на какие изображения нужно будет кликнуть для успешного прохождения защиты. В сети такие скрипты найти нетрудно. Это обучаемые боты, они со временем собирают свою «базу» решенных задач и делают все очень быстро. Однако в целом такой вариант не всегда выдает 100%-ое решение, потому что часто текст на капче настолько искажен, что его не каждый человек разберет, а роботы тем более.
  2. Обход рекапчи при помощи нейронных сетей. Если первый метод используется уже давно и многие современные разработчики капчи к нему подготовились, то к использованию нейронных сетей для обхода защиты многие еще не готовы еще. Не сложно догадаться, что раз современный искусственный интеллект легко распознает фотографии (кто изображен, пол, марку одежды, дислокацию), то проблем с капчей у него не будет. На данный момент официально была создана программа для обхода капчи компанией Vicarious, которая показала потрясающий результат с 90%-ым показателем правильного прохождения защиты. В массы этот продукт не пошел, он был только демонстрационным. Однако применение ИИ в обходе безопасности было замечено уже многократно. А это значит, что есть люди, которым под силу «обуздать» ИИ при создании ботов, чтобы обойти рекапчу на сайтах. При должном поиске таких умельцев можно найти в сети.
  3. Обход рекапчи общедоступными сервисами. Многим покажется удивительным, но обход рекапчи от Google можно осуществить при помощи другой разработки Гугла — Google Speech Recognition. Данный сервис — это гордость Google в сфере распознавания картинок и голоса. Так как он дает возможность использовать API, то его интеграция в собственную программу для обхода рекапчи не будет трудной. В финале вы получаете бота, который за счет Google обходит безопасность, предоставляемую Гуглом.

 

Как обойти reCAPTCHA, используя других людей

Этот способ трудно отнести к какому-либо из способов, путей или направлений. Поэтому имеет смысл он нем рассказать отдельно.

Это один из самых древних способов обойти защиту, но, как ни странно, он единственный дает 100%-ый результат и вообще не зависит от сложности капчи.

Все, кто хоть раз сталкивался с вопросом, как заработать в Интернете, находил такой вид заработка, как «Заработок на вводе капчи». Простые действия, вводишь символы, изображенные на картинке, в специальное поле и зарабатываешь денежку. Но никто не задавался вопросом, а для чего это нужно делать и кто и за что платит?

А суть очень простая. Имеется специальный сервис, куда приходят люди заработать на вводе капчи. Но в этот же сервис могут прийти те, кому нужно это самое решение капчи. Одни предоставляют капчи и платят, другие решают их и зарабатывают.

Для облегчения самого процесса ввода и предоставления капчи данные сервисы используют API. И получается, что прохождение самой капчи происходит в режиме реального времени. «Заработчики» вводят капчу на странице сервиса, а по факту она сразу вводится на сторонних ресурсах.

Такой способ ввода капчи необязательно используют на отдельных сервисах. Часто на посещаемых ресурсах вас просят ввести капчу, чтобы  доказать, что вы не робот, и  после этого вы получаете доступ к какому-то контенту. Однако вы вроде бы вводите на одном сайте, а на самом деле благодаря API ваше действие фиксируется совершенно на другом ресурсе.

 

Как обойти reCAPTCHA — выводы

Согласитесь, что в целом идея с вводом капчи для ограждения своих ресурсов от ботов — неплохая. Но так как технологические разработки не стоят на месте, они работают во всех направлениях. Совершенствуется защита от вредоносных программ, но в то же время совершенствуются и методы, как их обходить, и в частности рекапчу.

Если подумать, то от ПО для автоматического обхода капчи еще возможно как-то уберечься, если подходить к этому вопросу серьезно, но вот от ввода капчи руками никуда не уйдешь. И поэтому, пока существуют сервисы, где можно заработать деньги за ввод капчи, будет существовать и возможность попадания на ваш сайт нежеланных гостей.

Плюс искусственный интеллект только начинает набирать обороты. И как он будет применяться, чтобы осуществить обход рекапчи, можно только догадываться.

Вот и получается, что рекапча — это вроде и защита сайта, но в то же время и ее можно и обойти, если знать как.

Схожие статьи

PhpMyAdmin: уязвимости, которые могут нанести вред, и как их избежать
Web

PhpMyAdmin: уязвимости, которые могут нанести вред, и как их избежать

Web

Как получить массив ввода формы в массив PHP

Web

Как использовать PHPMailer для массовой рассылки писем

Mobile First индекс Google: все о последнем тренде SEO-оптимизации
Web

Mobile First индекс Google: все о последнем тренде SEO-оптимизации

×