Bezpieczni w sieci z OSE: CAPTCHA

Czemu strony internetowe proszą o potwierdzenie, że jesteśmy ludźmi, a nie robotami? Jaką rolę pełnią proste testy, które musimy wypełniać, np. zakładając konto na jakimś portalu? Tłumaczymy, czym jest CAPTCHA, i podpowiadamy, jak uniknąć związanych z nią zagrożeń.

Zakładacie konto na portalu lub forum dyskusyjnym, uzupełniacie formularz online, zmieniacie hasło do poczty e-mail – procedura już niemal zakończona, ale jeszcze… „Potwierdź, że nie jesteś robotem”. To tzw. CAPTCHA: rodzaj dodatkowego zabezpieczenia, znanego jako uwierzytelnianie typu wywołanie – reakcja. CAPTCHA polega na wyświetleniu prostego testu, który ma za zadanie sprawdzić, czy użytkownik próbujący się logować jest człowiekiem, a nie komputerem włamującym się na konto chronione hasłem. Czy CAPTCHA to niezawodne zabezpieczenie? Przekonajcie się!

Skąd się wzięła CAPTCHA i czym właściwie jest?

CAPTCHA (ang. Completely Automated Public Turing test to tell Computers and Humans Apart) zapewne kojarzy Wam się z testem Turinga, który może pomóc odróżnić człowieka od komputera. Zabezpieczenie to od samego początku – po raz pierwszy w znanej dziś formie zostało użyte w 2000 r. – miało zapobiegać zautomatyzowaniu stron internetowych i działalności botów. W oryginalnym założeniu CAPTCHA to dowolne zadanie, z którym człowiek poradzi sobie łatwo, a komputer nie będzie w stanie go wykonać.

Z biegiem lat mechanizmy CAPTCHA ewoluowały, dostosowując się do rosnących możliwości botów. Najbardziej klasyczna forma tego zabezpieczenia polegała na przepisywaniu zniekształconych znaków z obrazka. Jednak ze względu na rozwój technologii rozpoznawania tekstu, system ten stał się mniej skuteczny, co wymusiło wprowadzenie nowych metod.

Obecnie stosowane rodzaje CAPTCHA to:

  • Tekstowa CAPTCHA – użytkownik przepisuje zniekształcone litery i cyfry z obrazka.
  • Obrazkowa CAPTCHA – wymaga zaznaczenia określonych elementów na zdjęciach, np. sygnalizacji świetlnych czy przejść dla pieszych.
  • Matematyczna CAPTCHA – polega na rozwiązaniu prostego działania arytmetycznego.
  • Dźwiękowa CAPTCHA – stosowana dla osób niedowidzących, wymaga przepisania znaków usłyszanych w pliku audio.
  • reCAPTCHA – system opracowany przez Google, który analizuje zachowanie użytkownika na stronie i weryfikuje jego autentyczność bez konieczności rozwiązywania dodatkowych zadań.

To jednak nie wszystkie możliwości – możecie spotkać się jeszcze np. z testami polegającymi na przepisywaniu znaków w odwrotnej kolejności, podawaniu odpowiedzi na proste pytanie (np. Jaka jest stolica Francji?) czy dopasowywaniu brakującego elementu układanki.

Podstawowym celem CAPTCHA jest ochrona przed nadużyciami ze strony botów, które mogą próbować automatycznie zakładać konta, wysyłać spam czy wykonywać działania obciążające serwery. To skuteczne narzędzie, które pozwala zabezpieczyć dane użytkowników oraz stabilność działania stron internetowych.

Ataki z wykorzystaniem CAPTCHA

Choć CAPTCHA jest sprawdzonym zabezpieczeniem, cyberprzestępcy opracowali sposoby na jej omijanie, a nawet wykorzystanie w atakach socjotechnicznych. Jednym z niebezpiecznych oszustw jest tzw. fałszywa CAPTCHA, która wygląda jak standardowy test, lecz wymaga od użytkownika wykonania określonych działań poza stroną internetową. Użytkownik może zostać poproszony o skopiowanie ciągu znaków do schowka i uruchomienie go w systemie, co w rzeczywistości powoduje uruchomienie złośliwego kodu.

Taki atak działa poprzez wykorzystanie dobrze znanych skrótów klawiaturowych: Ctrl+C (kopiowanie) i Ctrl+V (wklejanie), a także Win+R, które otwiera okno „Uruchom” w systemie Windows. Jeśli użytkownik postępuje zgodnie z instrukcją, nieświadomie wykonuje polecenia cyberprzestępców, otwierając dostęp do swojego systemu dla złośliwego oprogramowania.

Fałszywa CAPTCHA – jak się chroić?

Podstawową zasadą bezpieczeństwa jest świadomość zagrożeń i ostrożność w sieci. Pamiętajcie: żadna prawdziwa CAPTCHA nie będzie wymagała opuszczania strony internetowej ani wykonywania działań systemowych, takich jak uruchamianie programów czy kopiowanie kodów do schowka. Jeśli natraficie na podobne instrukcje, natychmiast przerwijcie proces i opuśćcie stronę.

Cyberprzestępstwa w dużej mierze bazują na socjotechnice, wykorzystując nieuwagę i brak świadomości użytkowników. Dlatego warto zawsze zachować czujność i traktować podejrzane polecenia z dużą ostrożnością. Weryfikowanie wiarygodności stron internetowych, stosowanie oprogramowania zabezpieczającego oraz unikanie klikania w nieznane linki to podstawowe kroki, które mogą uchronić nas przed niebezpiecznymi atakami w sieci.

 

Źródła:

Gańko K., Kania D., Troszczyńska-Roszczyk E., (2022), „ABC cyberbezpieczeństwa”, Warszawa: Państwowy Instytut Badawczy NASK [online, dostęp dn. 21.02.2025].

„Uwaga, fałszywa CAPTCHA, czyli nie daj się zainfekować”, (2024), artykuł na stronie cert.pl [online, dostęp dn. 21.02.2025].

27.02.2025

Najnowsze artykuły

Bezpieczni w sieci z OSE: CAPTCHA - Ogólnopolska Sieć Edukacyjna