Mã CAPTCHA sắp lỗi thời tới nơi vì công nghệ mới của các hacker

Tại sự kiện Black Hat Asia (29/3 – 1/4 tại Marina Bay Sands, Singapore) - ba chuyên gia an ninh mạng đã phát hiện cách thức tấn công mới có thể vượt qua cơ chế CAPTCHA của Google và Facebook trong thời gian ngắn một cách dễ dàng, đặc biệt là với chi phí rẻ hơn rất nhiều so với trước đây.

Cụ thể, nhóm nghiên cứu trên đã sử dụng machine learning (cơ chế máy học) để phỏng đoán hình ảnh CAPTCHA (hình ảnh) với tỷ lệ chính xác rất cao, bên cạnh đó là cookie, token để qua mặt các biện pháp bảo mật. Thử nghiệm với 2.235 hình ảnh trên hệ thống reCAPTCHA của Google, tỷ lệ thành công của phương thức này lên tới 70,78%, trong khi thời gian giải một CAPTCHA trung bình là 19,2 giây.

Hơn 80% CAPTCHA của Facebook có thể bị machine learning giải mã

Với mạng xã hội Facebook, tỷ lệ thành công được ghi nhận thậm chí còn cao hơn nhiều, lên tới 83,5% (thử nghiệm trên tổng số 200 CAPTCHA). Lý giải về vấn đề này, các chuyên gia cho biết Facebook sử dụng các hình ảnh có độ phân giải cao, bên cạnh việc phân loại đối tượng. Trong khi đó, Google thường cung cấp ảnh có chất lượng thấp hơn, ảnh CAPTCHA được sử dụng tương tự nhau khiến thuật toán gặp khó khăn trong việc xác định hình ảnh.

Về chi phí để thực hiện một cuộc tấn công sử dụng hệ thống này, các chuyên gia ước tính tin tặc sẽ chỉ phải bỏ ra khoảng 110 USD/ngày để "vượt rào" hơn 60.000 CAPTCHA từ một địa chỉ IP mà không bị phát hiện. "Hệ thống dò đoán CAPTCHA của chúng tôi có độ chính xác không hề thua kém các dịch vụ chuyên nghiệp hiện nay, mà giá cả thì rẻ hơn khá nhiều".

Một CAPTCHA có thể bị "giải mã" như thế nào ?

Hiện tại, Suphannee Sivakorn, Jason Polakis và Angelos D. Keromytis - 3 chuyên gia bảo mật nói trên đã thông báo tình trạng này cho Google và Facebook. Ngay lập tức, gã khổng lồ tìm kiếm đã thay đổi một số thuật toán để tăng độ khó cho CAPTCHA, trong khi Facebook vẫn chưa có động thái cụ thể.

Nếu quan tâm tới vấn đề này, bạn có thể tham khảo tài liệu nghiên cứu I Am Robot: (Deep) Learning to Break Semantic Image CAPTCHAs (Tôi là Robot: Học cách giải CAPTCHA) tại đây.

Tham khảo: Softpedia