Le (Completely Automated Public Turing test to tell Computers and Humans Apart), a été conçu à l’origine pour empêcher les bots, les malwares et l’intelligence artificielle (IA) d’interagir avec une page web. Dans les années 90, il s’agissait d’empêcher les robots de spammer. De nos jours, les organisations l’utilisent pour tenter de prévenir des attaques automatisées plus sinistres comme le bourrage de crédence.

Presque dès son introduction, cependant, les cybercriminels ont développé des méthodes efficaces pour le contourner. Les bons ont répondu avec des s « durcis », mais le résultat reste le même : le test qui tente d’arrêter l’automatisation est contourné avec l’automatisation.

Il existe de multiples façons peuvent être défaites. Une méthode courante consiste à utiliser un service de résolution, qui utilise une main-d’œuvre humaine à faible coût dans les pays en développement pour résoudre les images. Les cybercriminels s’abonnent à un service pour obtenir des solutions, qui sont intégrées dans leurs outils d’automatisation par le biais d’API, ce qui permet d’afficher les réponses sur le site Web cible. Ces entreprises louches sont si omniprésentes que beaucoup peuvent être trouvées avec une recherche rapide sur Google, notamment :

  • Deathby
  • 2
  • Kolotibablo
  • ProTypers
  • Antigate

Cet article utilisera 2 pour démontrer comment les attaquants intègrent la solution pour orchestrer des attaques de bourrage d’identifiants.

2

En accédant au site 2.com, le spectateur est accueilli par l’image ci-dessous, lui demandant s’il souhaite 1) travailler pour 2 ou 2) acheter 2 en tant que service.

Option 1 – Travailler pour 2

Pour travailler pour 2, il suffit de s’inscrire à un compte, en fournissant une adresse e-mail et un compte PayPal pour les dépôts de paiement. Lors d’un test, un compte a été validé en quelques minutes.

Les nouveaux travailleurs doivent suivre une formation unique qui leur apprend à résoudre rapidement les s. Elle fournit également des conseils tels que quand la casse a de l’importance et quand elle n’en a pas. Après avoir terminé la formation avec suffisamment de précision, le travailleur peut commencer à gagner de l’argent.

Après avoir sélectionné « Start Work », le travailleur est amené à l’écran de l’espace de travail, qui est représenté ci-dessus. Le travailleur reçoit alors une et est invité à soumettre une solution. Une fois que la solution est correcte, l’argent est déposé dans une « bourse » électronique, et le travailleur peut demander un paiement quand il le souhaite. Il n’y a apparemment pas de fin au nombre de s qui apparaissent dans l’espace de travail, ce qui indique une demande constante pour le service.

2 travailleurs sont incités à soumettre des solutions correctes un peu comme un chauffeur Uber est incité à fournir un excellent service – les notes des clients. Les clients de 2 notent l’exactitude des solutions qu’ils ont reçues. Si l’évaluation d’un travailleur de 2 tombe en dessous d’un certain seuil, il sera expulsé de la plateforme. Inversement, les travailleurs ayant les meilleures évaluations seront récompensés pendant les périodes de faible demande en recevant une priorité dans la distribution.

Option 2 – 2 en tant que service

Pour utiliser 2 en tant que service, un client (c’est-à-dire, un attaquant) intègre l’API de 2 dans son attaque pour créer une chaîne d’approvisionnement numérique, alimentant automatiquement les puzzles du site cible et recevant des solutions à saisir dans le site cible.

2 fournit utilement des exemples de scripts pour générer des appels d’API dans différents langages de programmation, notamment C#, JavaScript, PHP, Python, et plus encore. Le code d’exemple écrit en Python a été reproduit ci-dessous :

Intégration de 2 dans une attaque automatisée

Comment un attaquant utiliserait-il 2 dans une attaque par bourrage de crédence ? Le schéma ci-dessous montre comment les différentes entités interagissent dans un processus de contournement :

Processus technique :

  1. L’attaquant demande la source de l’iframe et l’URL utilisée pour intégrer l’image du site cible et l’enregistre localement
  2. L’attaquant demande un jeton d’API au site Web de 2
  3. L’attaquant envoie le au service de 2 en utilisant HTTP POST et reçoit un ID, qui est un ID numérique attribué à l’image qui a été soumise à 2. L’ID est utilisé à l’étape 5 pour une requête API GET à 2 afin de récupérer le .
  4. 2 attribue le à un travailleur qui le résout ensuite et soumet la solution à 2.
  5. L’attaquant programme un script pour envoyer un ping à 2 en utilisant l’ID (toutes les 5 secondes jusqu’à la résolution). 2 envoie alors la solution résolue . Si la solution est toujours en cours de résolution, l’attaquant reçoit un message de 2 indiquant « _NOT_READY » et le programme réessaie 5 secondes plus tard.
  6. L’attaquant envoie une demande de connexion au site cible avec les champs remplis (c’est-à-dire un ensemble d’identifiants provenant d’une liste volée) avec la solution.
  7. L’attaquant itère sur ce processus avec chaque image.

Combiné avec des frameworks de test web comme Selenium ou PhantomJS, un attaquant peut sembler interagir avec le site web cible de manière humaine, contournant efficacement de nombreuses mesures de sécurité existantes pour lancer une attaque de credential stuffing.

Monétisation &Écosystème criminel

Avec une solution aussi élégante en place, à quoi ressemble l’écosystème financier et comment les parties gagnent chacune de l’argent ?

Monétisation : solveur

Travailler comme solveur est loin d’être lucratif. Sur la base des métriques fournies sur le site de 2, il est possible de calculer le gain suivant :

En supposant qu’il faut 6 secondes par , un travailleur peut soumettre 10 s par minute ou 600 s par heure. Dans une journée de 8 heures, cela représente 4800 s. Sur la base de ce qui a été gagné pendant notre essai en tant qu’employé pour 2 (environ 0,0004 $ par solution), cela équivaut à 1,92 $ par jour.

C’est une perte de temps pour les individus dans les pays développés, mais pour ceux qui vivent dans des endroits où quelques dollars par jour peuvent aller relativement loin, les services de résolution sont un moyen facile de gagner de l’argent.

Monétisation : Attaquant

L’attaquant paie le tiers, 2, pour des solutions par paquets de 1000. Les attaquants enchérissent sur les solutions, payant entre 1 et 5 dollars par paquet.

De nombreux attaquants utilisent les services de -solution comme un composant d’une attaque de bourrage de crédence plus importante, ce qui justifie la dépense. Par exemple, supposons qu’un attaquant lance une attaque pour tester un million d’informations d’identification provenant de Pastebin sur un site cible. Dans ce scénario, l’attaquant doit en contourner un avec chaque ensemble d’informations d’identification, ce qui coûterait environ 1000 $. En supposant un taux de réutilisation réussie des informations d’identification de 1,5 %, l’attaquant peut prendre plus de 15 000 comptes, qui peuvent tous être monétisés.

Monétisation : 2

2 reçoit un paiement de l’attaquant sur une base par 1000. Comme mentionné ci-dessus, les clients (c’est-à-dire les attaquants) paient entre 1 et 5 dollars par 1000 s. Les services comme 2 prennent alors une part du prix de l’offre et distribuent le reste à leur main-d’œuvre humaine. Étant donné que les services de résolution sont utilisés comme une solution à l’échelle, les bénéfices s’additionnent bien. Même si 2 ne reçoit qu’un dollar par 1000 s résolus, il gagne au moins 60 cents par paquet. Les propriétaires de ces sites se trouvent souvent eux-mêmes dans des pays en développement, de sorte que les revenus apparemment faibles sont substantiels.

Que dire de la re invisible de Google ?

En mars de cette année, Google a publié une version améliorée de sa re appelée « re invisible ». Contrairement à « no re », qui exigeait que tous les utilisateurs cliquent sur le tristement célèbre bouton « I’m not a Robot », Invisible re permet aux utilisateurs humains connus de passer à travers tout en ne servant un défi d’image re qu’aux utilisateurs suspects.

On pourrait penser que cela va dérouter les attaquants car ils ne pourraient pas voir quand ils sont testés. Pourtant, juste un jour après que Google ait introduit Invisible re, 2 a écrit un article de blog sur la façon de le battre.

La façon dont Google sait qu’un utilisateur est un humain est si l’utilisateur a précédemment visité la page demandée, ce que Google détermine en vérifiant les cookies du navigateur. Si le même utilisateur a commencé à utiliser un nouvel appareil ou a récemment vidé son cache, Google ne dispose pas de cette information et est obligé d’émettre un nouveau défi.

Pour qu’un attaquant puisse automatiser une attaque de bourrage de crédence en utilisant 2, il doit garantir un défi. Ainsi, une façon de contourner Invisible re est d’ajouter une ligne de code au script d’attaque qui efface le navigateur à chaque requête, garantissant un re challenge solvable.

La chose légèrement délicate avec Invisible re est que le challenge est caché, mais il existe une solution de contournement. Le peut être « trouvé » en utilisant l’outil de navigateur « inspecter l’élément ». Ainsi, l’attaquant peut envoyer un POST à 2 qui inclut un paramètre détaillant l’emplacement du défi caché. Une fois que l’attaquant reçoit la solution de 2, Invisible re peut être vaincu via l’automatisation de l’une des deux façons suivantes :

  1. Action JavaScript qui appelle une fonction pour fournir le jeton résolu avec le formulaire de soumission de la page
  2. Changement de code HTML directement dans la page Web pour substituer un extrait de code normal avec l’entrée du jeton résolu.

Le fait que le re invisible puisse être contourné n’est pas parce qu’il y avait un défaut fatal dans la conception du plus récent . C’est que tout test de Turing inversé est intrinsèquement battable lorsque les conditions de passage sont connues.

Aussi longtemps qu’il y aura des s, il y aura des services comme 2 parce que l’économie joue si bien dans les mains du criminel. Tirer parti d’une main-d’œuvre humaine à faible coût minimise le coût des affaires et permet aux cybercriminels de récolter des profits qui peuvent atteindre des millions de dollars à l’échelle. Et il y aura toujours des régions du monde avec des coûts de main-d’œuvre bon marché, donc la demande constante assure une offre constante du côté de 2.

Le monde n’a pas besoin de développer un meilleur , puisque toute cette approche a des limites fondamentales. Au lieu de cela, nous devrions reconnaître ces limites et mettre en œuvre des défenses où les conditions de passage sont inconnues ou sont au moins difficiles à vérifier pour les attaquants.

Sources

Holmes, Tamara E. « Prepaid Card and Gift Card Statistics. » CreditCards.com. Creditcards.com, 01 déc. 2015. Web.

Hunt, Troy. « Rompre avec les humains automatisés ». Article de blog. Troy Hunt. Troy Hunt, 22 janv. 2012. Web.

Motoyama, Marti, Kirill Levchenko, Chris Kanich, et Stefan Savage. Re : s-Understanding -solving Services dans un contexte économique. Proc. du 19e USENIX Security Symposium, Washington DC. Imprimer.

En savoir plus

Voir la vidéo, « Apprenez comment les cybercriminels défient »

.

admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

lg