The (Completely Automated Public Turing test to tell Computers and Humans Apart), is originally designed to prevent bot, malware and artificial intelligence (AI) from interacting with web page.(Web ページとボットとマルウェア、そしてAIが相互に作用するのを防ぐために設計されています)……。 90年代には、これはスパムボットの防止を意味した。 しかし、導入されるとすぐに、サイバー犯罪者はこれを回避する効果的な方法を開発しました。 善良な人々は「ハード化」したもので対応しましたが、結果は同じままです。自動化を阻止しようとするテストは、自動化によって回避されます。 一般的な方法は、発展途上国の低コストの人手を利用して画像を解く「解答サービス」を利用する方法です。 サイバー犯罪者は、解答サービスを購読し、APIを介して自動化ツールに流れ込み、ターゲットのWebサイトに解答を入力します。 このような怪しい企業はどこにでもあるので、Googleで検索すると、次のような企業が見つかります:
- Deathby
- 2
- Kolotibablo
- ProTypers
- Antigate
この記事では、2を使って攻撃者がソリューションを統合して信用箔押し攻撃を組織的に行う方法を説明します。
2
サイト2.comにアクセスすると、以下の画像が表示され、1)2のために働くか、2)2をサービスとして購入するかを尋ねられます。
オプション1 – 2のために働く
2のために働くためには、電子メールアドレスと支払い預金用のPayPalアカウントを提供して登録するだけでOKです。 テストでは、アカウントは数分で認証されました。
新しい作業者は、sを素早く解決する方法を教える1回限りのトレーニングコースを受けなければなりません。
「仕事を始める」を選択すると、上図のようなワークスペースの画面になります。 そして、解答が提供され、解答を提出するように促されます。 正解すると、お金が電子財布に入金され、好きなときに支払いを要求することができます。
2 ワーカーは、Uberの運転手が優れたサービス-顧客評価を提供するインセンティブがあるように、正しい解を提出するインセンティブがあるのです。 2 人の顧客は、受け取ったソリューションの正確さを評価します。 2のワーカーの評価が一定の基準を下回ると、プラットフォームから追い出される。 逆に、最も高い評価を得たワーカーは、需要の少ない時期に優先的に配布されることで報われる。
Option 2 – 2 as a service
サービスとして2を使用するには、顧客(すなわち, 攻撃者)は、2 API を自分の攻撃に統合してデジタル サプライ チェーンを作成し、ターゲット サイトからパズルを自動的に供給し、ターゲット サイトに入力するソリューションを受け取ります。
2 は、C#、JavaScript、PHP、Python など、異なるプログラミング言語での API 呼び出しを生成するサンプル スクリプトを親切にも提供しています。 Python で書かれたサンプル コードを以下に再現します:
2 を自動攻撃に組み込む
攻撃者はどのようにして、クレデンシャル・スタフィング攻撃に2を使うのでしょうか? 下の図は、異なるエンティティがバイパス プロセスでどのように相互作用するかを示しています:
技術的なプロセス。
- 攻撃者は、ターゲットサイトから画像を埋め込むために使用されるiframeソースとURLを要求し、それをローカルに保存する
- 攻撃者は2のWebサイトからAPIトークンを要求する
- 攻撃者はHTTP POSTを使って2のサービスに送り、2に提出した画像に関連する数値IDであるIDを受け取ります。 このIDは、ステップ5で2へのAPI GETリクエストに使用され、解いた.
- 2をワーカーに割り当て、ワーカーはそれを解いて2へ解を提出する。
- 攻撃者は、IDを使って(解けるまで5秒ごとに)2をping送信するスクリプトをプログラム。 2 は解決されたコードを送信します。
- 攻撃者は、解決策とともに、記入されたフィールド(つまり、盗まれたリストからの資格情報のセット)を持つターゲット サイトにログイン要求を送信します。
Selenium や PhantomJS などの Web テスト フレームワークと組み合わせることにより、攻撃者は人間のようにターゲット Web サイトとやり取りしているように見せ、多くの既存のセキュリティ対策を効果的に回避して、クレデンシャル スタッフィング攻撃を開始することが可能です。
Monetization & Criminal Ecosystem
このようなエレガントなソリューションがある場合、金融エコシステムはどのように見え、当事者はそれぞれどのようにしてお金を稼ぐのでしょうか。
Monetization: solver
ソルバーとして働くことは、儲けとは程遠いものです。 2のサイトで提供されている指標に基づいて、次のような報酬を計算することができます:
1回に6秒かかると仮定すると、作業者は1分間に10秒、1時間に600秒提出することができます。 1 日 8 時間で 4800 秒です。2 人の従業員として試用したときの収入(1 解決あたり約 0.0004 ドル)に基づき、1 日あたり 1.92 ドルに相当します。
これは先進国の個人にとっては時間の無駄ですが、1 日に数ドルで済む地域に住んでいる人にとっては、解決サービスは簡単にお金を稼ぐ方法なのです。 攻撃者
攻撃者は第三者である2に、1000個単位で解答を支払う。 攻撃者は、解決策に入札し、1束あたり1~5ドルを支払います。
多くの攻撃者は、より大きなクレデンシャルスタッフィング攻撃のコンポーネントとして解決策サービスを使用し、その費用を正当化しています。 たとえば、攻撃者がターゲット サイトで Pastebin から 100 万のクレデンシャルをテストする攻撃を開始するとします。 このシナリオでは、攻撃者はクレデンシャルの各セットで1つずつバイパスする必要があり、それにはおよそ1000ドルの費用がかかります。 クレデンシャル再利用の成功率を1.5%と仮定すると、攻撃者は15000以上のアカウントを取ることができ、これらはすべて収益化できます。
Monetization: 2
2 は1000単位で攻撃者から支払いを受け取ります。 前述したように、顧客(つまり攻撃者)は1000sあたり1ドルから5ドルを支払う。そして2のようなサービスは、入札価格の一部を取り、残りを人間の労働力に配給する。 解決サービスは、大規模なソリューションとして利用されるため、利益はうまく積み重なる。 2が1000秒につき1ドルしか受け取らなかったとしても、1バンドルあたり最低でも60セントの利益を得ることができる。
GoogleのInvisible reは?
今年3月、Googleは “Invisible re “と呼ばれるreのアップグレード版をリリースしました。 すべてのユーザーが悪名高い「私はロボットではありません」ボタンをクリックする必要があった「reなし」とは異なり、「見えない re」では、既知の人間のユーザーは通過することができ、疑わしいユーザーには re イメージのチャレンジのみが提供されます。 しかし、Google が Invisible re を導入したわずか 1 日後に、2 はそれを打ち負かす方法についてブログ記事を書きました。
Googleがユーザーが人間であることを知る方法は、ユーザーがリクエストしたページを以前に訪れたことがあるかどうかで、これはブラウザのクッキーをチェックすることによってGoogleが判断することです。 同じユーザーが新しいデバイスを使い始めたり、最近キャッシュをクリアした場合、Google はその情報を持っておらず、再チャレンジを発行せざるを得ません。
攻撃者が 2 を使用してクレデンシャル・スタッフィング攻撃を自動化するためには、チャレンジを保証する必要があります。 したがって、Invisible reを回避する1つの方法は、各リクエストでブラウザをクリアし、解決可能な再チャレンジを保証するコード行を攻撃スクリプトに追加することです。
Invisible reの少し厄介な点は、チャレンジが隠されることですが、回避策があることです。 これは、「inspect element」ブラウザ ツールを使用して「発見」することができます。 そこで攻撃者は、隠された場所がどこにあるかという詳細なパラメータを含む POST を 2 に送信することができます。
- JavaScript アクションで関数を呼び出し、ページ フォームの送信時に解決済みトークンを提供する
- HTML コードを Web ページ内で直接変更し、解決済みトークン入力で通常のコードのスニペットを置き換える。
Invisible re がバイパスできるという事実は、より新しい設計に致命的な欠陥があったためではありません。 2111>
S が存在する限り、2のようなサービスは存在することになります。 低コストの人間の労働力を利用することで、ビジネスを行うコストを最小限に抑え、サイバー犯罪者はスケールで数百万ドルを上回る利益を得ることができます。 そして、世界には常に安い労働コストの地域が存在するため、一定の需要により、2 の側には一定の供給が保証されます。
このアプローチ全体には基本的な限界があるため、世界はより優れたものを開発する必要はありません。 その代わり、その限界を認め、パス条件が不明であるか、少なくとも攻撃者が確認するのが困難な防御を実装すべきです。
Sources
Holmes, Tamara E. “Prepaid Card and Gift Card Statistics”. CreditCards.com. Creditcards.com, 01 Dec. 2015. Web.
Hunt, Troy. “自動化された人間との決別”. ブログ記事。 Troy Hunt. トロイ・ハント、2012年1月22日。 Web.
Motoyama, Marti, Kirill Levchenko, Chris Kanich, and Stefan Savage. Re: s-Understanding -solving Services in an Economic Context. 19 USENIX Security Symposium, Washington DC. Print.
Learn More
Watch the video, “Learn How Cybercriminals Defeat “
“”.
