Forum: Offtopic Captcha zu einfach zu umgehen?

Es gibt Farmen, in denen Leute den ganzen Tag Captchas lösen, gegen 
Geld. Die Spammer sammeln die Seiten ein und schicken das Captcha an die 
Farm, der Löser weiß gar nicht wozu das gehört, aber löst das Bild. 
Antwort kommt zurück und schon hat man eine automatische 
Spammöglichkeit.

Und wenn man ChatGPT fragt, sagt es auch das es Captchas nicht lesen 
kann, meint aber dann doch, das dort sFjh6F3S steht.
Deine einfachen 5 Ziffern sind vmtl. schon seit 10 Jahren 
computerlesbar.

Viele Seiten machen kein Captcha sondern eine Formularzeile in die man 
etwas eintragen muss. Das ist dann so speziell, das es ein Bot nicht 
kann, ein Mensch kuckt aber deine Seite nicht an (zumindest nicht für 
Spam).
Da stehen dann so Sachen wie "welcher Tag ist heute" und die Antwort ist 
entweder "30", "30.5." oder "Donnerstag".
Oder "welches Tier ist Garfield" und "Katze".

Das scheint zumindest bislang besser zu klappen, aber evtl. begreifen 
LLM auch das bald. Dann hilft nur "kein Formular".

Hallo

Es gibt auch die Lösungen, dass die E-Mail-Adresse in einer recht 
seltsamen, aber für die Zielgruppe verständlicher Art angegeben wird.

Als Text min komischer Schreibweise z.B. mikrocontrolller Nett äd Hennes 
Strohkopf pointus deähh oder auch teilweise in Bildern "codiert" 
angegeben wird.

Wenn die Zielgruppe nicht verknöcherte, pfurztrockene Bürokraten sind 
und ein wenig Humor und Denkfähigkeit (eventuell auch Fachwissen - hier 
zu der Band) besitzt, geht das sehr gut, besonders wenn sie, die 
Zielgruppe, aus nur einem Sprachraum stammt- und z.B. mit Umlauten, 
typischen Sprichwörtern, Slang ausdrücken umgehen kann.


Aber ganz wirst du, das leider auch dann nicht verhindern können - 
gerade sowas, was du genannt hast, stammt manchmal auch von seltsamen 
Zeitgenossen, die ihre Botschaften (...) ernst meinen und die Menschheit 
"aufklären" wollen.

Darius schrieb:
> Als Text min komischer Schreibweise z.B. mikrocontrolller Nett äd Hennes
> Strohkopf pointus deähh oder auch teilweise in Bildern "codiert"
> angegeben wird.

Das kann und wird schon seit Jahren erkannt.
Auch JS-Obfuscation und solche Tricks sind schon lange offen.

Wenn Mensch es verstehen kann, kann Maschine es auch.
Der Trick ist, das Maschine erkennen kann, das dort eine Mailadresse 
sein muss. Zum Beispiel am Prefix "schreib mir an", gefolgt von einem 
"horst minus schlemmer rundesding fernseher punkt de eh".
Das kommt in einen Mustererkenner, der Leetspeak-ähnlich Texte umformen 
kann und der kennt "rundesding", "ät", "Klammeraffe" und so weiter, und 
tüdelt an den Versatzstücken so lange rum bis da etwas rauskommt, das 
einer Mailadresse ähnelt.
Da Mail nix kostet wird dann einfach an alle zumindest technisch 
korrekten Mails was geschickt, evtl. hat man ja Glück.

Ganz wichtig auch: das Formular darf keinen Fehler geben, wenn das 
Captcha falsch ist. Dann weiß Spammer nicht das Spam erkannt wurde.

Gerhard Z. schrieb:
> SEO Experten, die toxic links bemängeln.

Die SEO-Klitschen haben meistens genug unterbezahlte Mitarbeiter 
(Studenten, Praktikanten etc.) für niedere Tätigkeiten. Entweder 
schreiben die "Content" für sinnlose Linkfarmen, oder sie kümmern sich 
um das "Marketing".

Gerhard Z. schrieb:
> Ist das Captcha zu einfach zu umgehen oder sitz da wirklich jemand und
> gibt den Schrot zu Fuß ein?

Wenn irgendein Russe automatisiert SQL-Injection-Attacks durchprobiert 
und Du deshalb morgens 1000 oder gar 10000 Mails hast: Ersteres.

Wenn es wirklich nur sporadisch mit jeweils einer oder wenigen 
Nachrichten auftritt: Eher letzteres.

Jens M. schrieb:
> Auch JS-Obfuscation und solche Tricks sind schon lange offen.

Gegen die Spambots hilft das immer noch ganz gut, die haben meistens 
keinen Javascript-Interpreter.

Ich erkenne das immer ganz gut an nackt aufgerufenen URLs, weil sich die 
einfach parsen lassen, während die notwendigen Parameter per Javascript 
drangehängt werden.

Jens M. schrieb:
> Ganz wichtig auch: das Formular darf keinen Fehler geben, wenn das
> Captcha falsch ist.

Das ist in der Praxis keine gute Idee.

Es gibt diverse Dienstleister, die Captchas anbieten, und die sind 
i.d.R. besser als "selbstgestrickte" Versuche.

Um nur ein paar zu nennen:
https://cloud.google.com/security/products/recaptcha

https://www.hcaptcha.com/

https://european-alternatives.eu/de/kategorie/captcha-dienste

Ob die Übeltäter vor oder nach Deiner Abfrage angreifen?

Gerhard Z. schrieb:
> Ist das Captcha zu einfach

Von der Sorte gibt es zu viele. Deswegen werden sie automatisiert 
vorgehen. Wahrscheinlich würde ich zusätzlich noch ein UND-Kriterium 
erfragen. z.B. Wie viele Musiker spielen in einem Trio?

Lu schrieb:
> Wahrscheinlich würde ich zusätzlich noch ein UND-Kriterium
> erfragen. z.B. Wie viele Musiker spielen in einem Trio?

Oder:
Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie 
lange brauchen dann zwanzig Musiker?

Was sind Blumentopferde?

Gerhard Z. schrieb:
> Ist das Captcha zu einfach zu umgehen

Bist Du Dir sicher, dass nicht einfach Deine E-Mail-Adresse verwendet 
wird, die im Klartext daneben steht?

Frank M. schrieb:
> Bist Du Dir sicher, dass nicht einfach Deine E-Mail-Adresse verwendet
> wird, die im Klartext daneben steht?

Da bin ich eigentlich sicher, denn die Mail kommt genau in der Form, die 
die forms.php sendet.

Hallo Gerhard,

das Captcha ist tatsächlich sehr einfach zu umgehen. Ich habe mich mit 
dem Hacking solcher Captchas eine Zeit lang beschäftigt. Die Probleme 
mit Ihrem Captcha sind folgende:

- Buchstaben lassen sich vom Hintergrundgekritzel leicht trennen 
(unterschiedliche Farbe)

- Buchstaben lassen sich leicht voneinander trennen (großzügige Abstände 
zwischen diesen)

- Buchstaben sind lediglich gedreht (solch ein Buchstabe lässt sich ganz 
leicht "zurückdrehen" und dann wiedererkennen)

Wenn Sie ein paar Jahre zurückgehen und sich an das damalige Google 
Captcha erinnern: Das war dermaßen verzerrt und unleserlich, dass 
Menschen es selbst nur noch schwer erkennen konnten. Wenn Sie diesen Weg 
einschlagen wird das Ihre Kunden frustrieren. Mein Tipp: Versuchen Sie 
es mit Recaptcha https://cloud.google.com/security/products/recaptcha
Alternativ gibt es auch Captchas bei denen Sie eine kleine Logikaufgabe 
lösen müssen: 
https://www.cloudflare.com/de-de/learning/bots/how-captchas-work/

Ich hatte das mal so geloest, dass ein Betreff aus einer Liste 
ausgewaehlt werden musste. Das voreingestellte "nicht verwenden" hat 
dann den Spam einfach nicht abgeschickt.

Harald K. schrieb:
> Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie
> lange brauchen dann zwanzig Musiker?

Mit KI kein Problem. ChatGPT beantwortet diese Frage so:

"Die Anzahl der Musiker beeinflusst nicht die Dauer des Spielens eines 
Stücks. Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu 
spielen, werden auch zwanzig Musiker fünf Minuten brauchen, um dasselbe 
Stück zu spielen."

Steve van de Grens schrieb:
> Harald K. schrieb:
>> Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu spielen, wie
>> lange brauchen dann zwanzig Musiker?
>
> Mit KI kein Problem. ChatGPT beantwortet diese Frage so:
>
> "Die Anzahl der Musiker beeinflusst nicht die Dauer des Spielens eines
> Stücks. Wenn zehn Musiker fünf Minuten brauchen, um das Stück XY zu
> spielen, werden auch zwanzig Musiker fünf Minuten brauchen, um dasselbe
> Stück zu spielen."

Klingt wie die Antwort eines Politikers. Langes herumgerede.
„5 Minuten“ wäre eine richtige und kurze Antwort auf die Frage.

Walta

Walta S. schrieb:
> Klingt wie die Antwort eines Politikers. Langes herumgerede

Die Antwort war sogar noch länger, hatte das gezeigte allerdings nur 
mehrfach mit umgestelltem Satzbau wiederholt.

Steve van de Grens schrieb:
> Mit KI kein Problem.

Dann stell' die Frage mal vor einer Schulklasse, Sek I. Sofern die nicht 
sofort auf ihren Smartphones herumwischen, sondern tatsächlich selbst 
denken müssen, wird Dich das Ergebnis überraschen. War auch in den 80ern 
schon so, nicht daß da jemand denkt, hier würden alte Säcke sich über 
nachfolgende Generationen lustig machen.

Je nach (gefuehlten) Wichtigkeit der Seite, kann man das Loesen von 
Captchas auslagern. Einschlaegige Seiten lassen fuer den Zugang zu 
Content Captchas loesen. Nun koennen sie ja die Captchas von irgendwoe 
her ziehen, loesen lassen und am am Ursprungsort einloesen. Und schon 
hat man einen Dummen gefunden. Sowas muss aber bewirtschaftet werden, 
was sich eine Musikgruppe nicht leisten kann. Ich denke auch nicht, eine 
Musikgruppe ein lohnendes  Ziel ist.

Purzel H. schrieb:
> Ich denke auch nicht, eine
> Musikgruppe ein lohnendes  Ziel ist.

Als wenn den Scraper interessiert, was das für eine Seite ist.
- Formular zum abschicken? Check
- Captcha-System das ich lösen kann? Check
- Raus mit der Post, hüh!
"Lohnen" tut sich das, wenn ein Idiot kauft oder zahlt oder was immer 
die Spammer wollen. Und der eine bezahlt für 10000 die das nicht tun, 
bzw. die dazu nötigen Mails und Captchas, plus es bleibt was für den 
Spammer über.

Ich habe das mit einer Copy&Paste-Abfrage gelöst, seitdem kein einziger 
Bot mehr.
Also ein "kopieren sie das da und fügen sie es hier ein, dann klicken 
sie hier auf senden".

probiers doch mal mit einem "inversen" timeout.
also beim Aufruf einfach einen timestamp in ein hidden field, bei der 
Verarbeitung dann prüfen, ab seit dem Aufruf mindestens x Sekunden 
vergangen sind.

Um keine Schnelltipper zu vergraulen kannst du für Mensche ja mit einem 
Timer den Submit Button erst nach dem Timeout auf enabled stellen.

Danke für all die Tipps. Hatte jetzt mit Hilfe eines anderen Forums noch 
einen Fehler in der PHP Datei gefunden. Weiterhin hab ich erst mal die 
Eingabe dahingehend geändert, dass nur noch eine (in deutsch 
beschriebene) Untermenge der angezeigten Ziffern einzugeben ist. Das 
sollte zumindest captcha-lösende Farmen verhindern, die der deutschen 
Sprache nicht mächtig sind. Zumindest ist ein einfaches automatisches 
Ausfüllen damit erschwert. Jetzt warte ich erst mal wieder ab, bis jetzt 
ist noch nichts wieder gekommen. Wenn doch kann ich die Aufgabe ja 
Schritt für Schritt erschweren. Ich werde definitiv keinen externen 
Dienst in Anspruch nehmen.

●DesIntegrator ●. schrieb:

> Was sind Blumentopferde?

Seltene Reittiere?

●DesIntegrator ●. schrieb:
> Was sind Blumentopferde?

Was sollen solche isolierten Beispiele aussagen?

Schau dir mal an wie einfach man einen Menschen täuschen kann. Es gibt 
optische Täuschungen, es gibt mentale Täuschungen, es gibt logische 
Fallen usw. usw.
Solche Dinge machen eine KI erst richtig menschlich. Einen 
Taschenrechner kann man nicht täuschen.

Leider kann man nicht viel dagegen machen, daß solche recht einfachen 
Captchas an echte Menschen weitergeleitet werden. Das geht recht 
einfach, indem man z.B. p0rn Inhalte anbietet und diese hinter einem 
Captcha versteckt. Diese Captchas sind weitergeleitet, sprich die User, 
die das tolle Video sehen wollen, lösen das Captcha und die Lösung wird 
dann vom Spam-Bot auf Deiner Seite verwendet.

Jetzt kann man probieren, irgendwelche typisch menschlichen 
Eigenschaften beim Bedienen der Webseite festzustellen, wie 
beispielsweise Ungenauigkeiten beim Führen der Maus, aber ich bin recht 
zuversichtlich, daß KI in Zukunft auch solche Tests überwinden kann.

Edit:
Habe mir das Captcha mal im Quelltext angeschaut, scheint keine 
einfachen Rückschlüsse auf die Lösung im HTML-Text zu geben. Die Lösung 
steht wohl in der Session oder in einer Datenbank, das ist schon mal 
ganz gut. Allerdings sind mir die Ziffern zu leicht lesbar, die 
"störenden" Effekte im Hintergrund sind niemals in gleicher Farbe wie 
die Ziffern und damit für ein Programm mit einem einfachen Farbfilter 
praktisch nicht vorhanden. Anschließend setze ich den Hintergrund auf 
grau, alles was abweicht, sind die Ziffern - und das wird angesichts der 
guten Qualität kein Problem für 'ne einfache OCR-Software sein.

Ben B. schrieb:
> Leider kann man nicht viel dagegen machen, daß solche recht einfachen
> Captchas an echte Menschen weitergeleitet werden. Das geht recht
> einfach, indem man z.B. p0rn Inhalte anbietet und diese hinter einem
> Captcha versteckt.

Dann muss der Angreifer aber wissen, wie das Captcha funktioniert, 
welche Elemente dazugehoeren usw. Fuer eine einzelne Seite lohnt da der 
Aufwand nicht bzw. ist es einfacher, einfach das Captcha selbst zu 
loesen um einmal an die Emailadresse zu kommen. Anders ist es natuerlich 
bei eingebundenen Captchas, die auf mehreren Seiten verwendet werden, 
oder wenn auf der einen Seite das Captcha wiederholt oft verwendet 
werden kann (bspw. zur Account-Erstellung).