Бот такое дело

В последних числах октября сразу две крупнейшие отечественные компании, работающие в сфере информационной безопасности, вышли с сообщением: мошенники начали распространять вредоносное ПО. «Лаборатория Касперского» обнаружила новую волну атак с помощью фальшивых «капчей» — тестов, позволяющих отличить человека от бота, а также сообщений об ошибке в браузере, стилизованных под Google Chrome.

При этой атаке жертва нажимает на полупрозрачный рекламный баннер на сайте, незаметно растянутый на весь экран, попадает на вредоносную страницу, где нужно пройти капчу. В результате действий «по инструкции», отмечают в компании, на компьютер загружается вредоносное программное обеспечение (ПО) для кражи данных. А Positive Technologies, в свою очередь, вышли со статьей, подробно описывающей дуэт троянцев Lumma и Amadey, под капчу маскирующихся.

Впрочем, и до появления троянцев покупатели капчу не то чтобы жаловали. В зарубежных СМИ проходила информация, что крупнейшие сайты в интернете в 2024 году на 10% сократили количество показов капчи в сравнении с 2023 годом. И всё потому, что в наш век капча зачастую защищает ресурсы от реальных посетителей лучше, чем от ботов. В момент своего появления автоматическое решение символьной капчи было задачей настолько вычислительно «дорогой» и непроработанной, что исключало массовое промышленное ее использование в автоматизации — боты капчу не могли пройти.

Однако с каждым годом количество задач, с которыми справляется так называемый искусственный интеллект, расширяется. То, что вчера автоматизированными методами не решалось, сегодня бот делает не хуже, а уже завтра — на порядок лучше человека. Уже сегодня люди, увидев 15 сильно зашумленных кривых букв, плюнут на этот сайт и пойдут на другой. Бот же даже несуществующим глазом не моргнет, если, конечно, выдать ему достаточно процессорных мощностей. Пример —- исследователи из Калифорнийского университета в Ирвине провели тест, где 1,4 тыс. участников решали 14 тыс. задач капчи различных типов, потом те же задачи решали боты.

Наименее эффективной капчей оказался искаженный текст, который ботам удалось решить менее чем за секунду с почти идеальной точностью. В то время как у людей уходило до 15 секунд, а точность была в диапазоне от 50 до 84%. Таким образом, вариацию теста Тьюринга с искажением букв уже можно списывать со счетов: она более не эффективна.

Кроме того, негативное влияние капчи на конверсию — также уже доказанный факт. Степень ее влияния зависит и от сложности прохождения капчи человеком, и насколько сильно ему необходимо попасть именно на этот ресурс. Но есть и усредненные данные, отраженные в исследованиях. Например, по данным компании Baymard, порядка 8% людей не проходят капчу. Если код чувствителен к регистру, показатели увеличиваются до 29%. По отчетам Moz, при использовании капчи потери компании в сегменте потенциальных покупателей составляют примерно 3,2%. И эти данные появились задолго до сегодняшних троянов, в которых подавляющее большинство потенциальных посетителей онлайн-ресурсов не понимает ничего, и потому априори их опасается.

Но давайте теперь представим себе логику покупательницы, которая во время «черной пятницы» выбрала себе в онлайн-магазине сапоги, хочет положить в корзину, но вдруг — капча. А несколько дней назад эта самая покупательница читала о новых атаках на граждан как раз с помощью капчи. Захочет ли дама сыграть в русскую рулетку — сапоги или троян?

И потому, по моему глубокому убеждению и по данным Servicepipe, по крайней мере тем онлайн-ресурсам, кто планирует рост выручки во время онлайн-распродаж, показ капчи следует либо тонко настроить, либо подключать в качестве аварийной меры борьбы с ботами и только в моменты, когда мощностей сайта не хватает и есть риск, что страница вот-вот под напором ботов рухнет. Также можно подумать на предмет внедрения не бесплатных, но эффективных средств по защите от ботов, в том числе и в период максимальной ботовой активности — во время распродаж.

Что касается покупателей, если вы во время «черной пятницы» увидели новый телефон или сапоги своей мечты по смешной цене, но на малознакомом сайте с капчей, — конечно же, вам решать. Но я бы слегка скорректировал мечту и купил бы похожие в проверенном месте.

Автор — руководитель аналитического отдела Servicepipe

Позиция редакции может не совпадать с мнением автора