Znasz ten motyw, kiedy przed wysłaniem formularza na stronie internetowej system prosi Cię o ułożenie puzzli albo wskazanie obrazków z konkretnymi elementami? To właśnie jest captcha – standard w zabezpieczeniach stosowany od lat. Ostatnio zauważyliśmy, że oszuści internetowi szukają sposobów jak zamienić ten popularny mechanizm w narzędzie do ataków.

Captcha to mechanizm zabezpieczający stosowany na stronach internetowych, który ma za zadanie sprawdzić, czy użytkownik jest człowiekiem, a nie automatycznym programem (tzw. botem). Nazwa pochodzi od angielskiego rozwinięcia “Completely Automated Public Turing test to tell Computers and Humans Apart”, czyli w uproszczeniu automatyczny test odróżniający komputer od człowieka.

Zadanie captchy polega na wyświetleniu zadania, które jest łatwe dla człowieka, ale trudne dla programów komputerowych, np. przepisanie zniekształconych cyfr czy liter, zaznaczenie odpowiednich obrazków lub kliknięcie pola „Nie jestem robotem”.

Uwaga, oszust!

Ostatnio jednak coraz częściej pojawiają się weryfikacje captcha, które wyglądają bardzo przekonująco, ale poza standardowym kliknięciem, wymagają również wykonania dodatkowych czynności. Tymczasem captcha tak nie działa.

Jeśli mechanizm weryfikujący wymaga czegoś więcej niż:

• Zaznaczenie checkboxa
• Ułożenie puzzli
• Przepisania ciągu znaków z obrazka
• Wskazanie niepasującego obrazka

  – to nie jest prawdziwe zabezpieczenie.

Captcha NIGDY nie wymaga od użytkownika uruchamiania jakichkolwiek komend. Bądźcie czujni.