GAN взламывает любую текстовую CAPTCHA за 0,05 секунды

Ученые разработали алгоритм, который способен взломать CAPTCHA быстрее и точнее, чем предыдущие методы — за 0,05 секунды с помощью настольного ПК.

Новый подход основан на использовании генеративно-состязательных нейросетей (GAN). Преимущество GAN при решении подобных задач состоит в том, что сеть может работать с гораздо меньшим начальным количеством данных для обучения. Это возможно благодаря тому, что GAN использует генеративный компонент для создания похожих данных. Сгенерированные данные затем подаются в дискриминатор, который пытается угадать правильный образец перед ним или нет.

Обучение модели для взлома капчи 

Для исследования ученые использовали 500 текстовых CAPTCHA из 11 текстовых сервисов по созданию капчи, которые использовались на 32 сайтах из топ-50 по версии Alexa. 

Разработчикам потребовалось 2 часа чтобы собрать 500 разных CAPTCHA. Столько же времени ушло на разметку собранных капч одним пользователем. «Это означает, что усилия и затраты на запуск нашей атаки невелики», — написали исследовали в статье. Затем GAN создала ещё 200 000 «синтетических» CAPTCHA. Обучающая выборка была собрана с сайтов Википедии, Microsoft, eBay, Baidu, Google, Alipay, JD, Qihoo360, Sina, Weibo и Sohu.

Подготовленная нейросеть взломала текстовые CAPTCHA со 100% точностью на сайтах Megaupload, Blizzard и Authorize.NET. Кроме того, метод превзошел другие подходы при взломе капчи на Amazon, Digg, Slashdot, PayPal, Yahoo, QQ и других сайтах.

Авторы отмечают, что метод обучения модели очень прост, поэтому любой злоумышленник может обучить алгоритм на обычном ПК или веб-сервере. После чего сможет запускать скоординированные DDoS-атаки или рассылку спама на сайтах, где используется CAPTCHA. «Это означает, что подобная защита сайтов перестала быть надежной», — отмечает автор исследования Чжэн Ванг.

Разработчики рекомендуют владельцам сайтов внедрять альтернативные меры по обнаружению ботов, использующие несколько уровней безопасности, например шаблоны использования, определение местоположения устройства или биометрические данные.

Вы можете самостоятельно за 15 минут написать простой алгоритм для взлома капчи, если знаете Python. Такой алгоритм подойдет только для одной версии капчи, но он работает. Также можете попробовать сервисы для разгадывания капчи с помощью AI.