CAPTCHA: Ausgeklügelte Rätsel als Schutzwall vor Spam-Bot-Attacken!

Ob deformierte Buchstaben oder Zahlenkombinationen, nicht lösbare Bilderrätsel oder das Klicken auf Ampeln, Fußgängerüberwege oder lachende Hunde: CAPTCHAs sind ein weitaus verbreiteter Sicherheitsmechanismus im Internet, um multimediale Webseiten und Webdienste vor bösartigen Internet-Bots zu schützen.

Im nachfolgenden Blogbeitrag zeigen wir Ihnen einen Überblick über die Einsatzbereiche der CAPTCHA-Technologie. Dabei stellen wir Ihnen die unterschiedlichen CAPTCHA-Typen vor und zeigen auf, welche weiteren Sicherheitsmechanismen es zur Spam-Prävention gibt.

Das Internet ist voller Bots – insbesondere bösartiger Bots, deren Ziel es ist, gezielt interaktive Webseiten und Webdienste anzugreifen, um etwa Daten oder Informationen von Webseiten-Besuchern abzugreifen sowie diese für schädliche Tätigkeiten zu verwenden, etwa Fake-Accounts oder Fake-Profile zu betreiben und ganz gezielt Spam wie auch rufschädigende und politische Parolen zu verbreiten. Es vergeht inzwischen kein Tag, an welchem Internetnutzer nicht mit automatisiert generierten Spam-Nachrichten kontaktiert werden: sei es in Foren, Chat-Portalen, in Blogs, im E-Mail-Postfach bzw. in Online-Formularen oder Kommentarfeldern eines Webshops.

Aus dem gegenwärtigen Bot-Bericht von Imperva geht hervor, dass lediglich 2021 42,2 % des Internettraffics von Internet-Bots erzeugt wurde. Hierbei waren allgemein so benannte „Bad Bots“ für 27,7 % aller globalen Webseitenaufrufe zuständig. Dabei hat jede Sparte, Imperva entsprechend, ihre jeweiligen Probleme mit Bad Bots.

Diese gehen von Account-Takeover (ATO)-Angriffen über Credential Stuffing bis hin zu Content- und Price-Scraping.

Eine bewährte und weitverbreitete Schutzmaßnahme gegen Internet-Bots, unerwünschte Nachrichten und das automatische Extrahieren von Daten auf Webseiten stellt nach wie vor die CAPTCHA-Technologie dar.

Was ist CAPTCHA und wie funktioniert es?

Die Bezeichnung CAPTCHA wurde von Forschern der Carnegie Mellon University in Pittsburgh gezeichnet und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart”.

Dabei dreht es sich in aller Regel um eine leichte, automatisierte Sicherheitsabfrage, mit welcher verifiziert werden soll, dass eine Person auf der Internetseite oder dem Webdienst agiert und nicht ein Bot. Das erste Ziel dieses Verifizierungsverfahren ist es, der unerwünschten Nutzung durch automatisierte Bots einen Riegel vorzuschieben sowie Menschen deutlich von Bots zu differenzieren.

CAPTCHAS findet man inzwischen nahezu in allen Gebieten, in denen es menschliche Internetnutzer von Bots zu differenzieren gilt. Dies betrifft zum Beispiel Online-Umfragen, Suchmaschinen-Services oder Registrierungsformulare für soziale Netzwerke, E-Mail-Dienste, Blogs sowie Newsletter. Auch Banken oder Online-Bezahldienste wie Paypal sowie die Webseiten von Kreditkartenunternehmen verwenden CAPTCHAs, um den Zugriff zu Kundenkonten zu schützen.

Wie funktionieren CAPTCHAs!

Um herauszufinden, ob es sich bei dem Internetseiten-Besucher um einen Menschen oder einen Internet-Bot handelt, werden für gewöhnlich sogenannte Challenge-Response-Tests eingesetzt, bei denen die Webseitenbesucher eine Fragestellung lösen müssen, um Einlass zu dem gewissen Web-Dienst zu erhalten.

Die Aufgaben sind in diesem Fall so entworfen, dass diese für einen menschlichen Webseiten-Nutzer in der Regel leicht zu bewältigen sind, während sie automatisierte Internet-Bots im besten Fall vor eine beinahe nicht lösbare Aufgabe setzen.

In den meisten Fällen müssen Webseiten-Besucher durch Zufall generierte, verzerrte Ziffernreihen oder Buchstabenreihen darstellen oder zum Beispiel Bilderrätsel oder Rechenaufgaben bewältigen. Es gibt jedoch ebenso Aufgaben, die Audio- oder Videoaufzeichnungen beinhalten.

Welche Arten von Captchas gibt es heutzutage?

Im Generellen lassen sich CAPTCHAs in textbasierte und bildbasierte Captchas, Logik- oder Frage-Captchas sowie Audio Captchas und Gamification Captchas unterteilen.

• Textbasierte CAPTCHA-Verfahren: Textbasierte CAPTCHAs sind die traditionsreichsten sowie am meisten verbreiteten Hits der menschlichen Verifizierung. Bei jenem Verifizierungsverfahren werden dem Internetseiten-Nutzer mehrere durch Zufall generierte Wörter, Buchstaben und Zahlen in stark verzerrter Form sowie zusätzlichen grafischen Elementen wie Linien, Bögen, Punkten oder auch Farbverläufen dargestellt. Der Webseiten-Nutzer muss diese entziffern und ins Eingabefeld eintragen, um Eintritt zum gewollten Webdienst zu erhalten.

Eine prominente Variante des gewöhnlichen Text-Captchas ist reCAPTCHA.

• reCAPTCHA: Bei der von Google entworfenen CAPTCHA-Technik werden dem Internetseiten-Nutzer anstatt von durch Zufall generierten Buchstaben-Zahlen-Kombinationen, Straßennamen, Hausnummern, Verkehrs- und Ortsschilder sowie Fragmente eingescannter Textabschnitte aus Google Books oder Google Street View angezeigt, welche sie entziffern und über die Tastatur in ein Feld eintippen sollen.

• Bildbasierte CAPTCHA-Verfahren: Neben textbasierten CAPTCHAs treffen Webseiten-Besucher immer öfter auf bildbasierte Sicherheitsabfragen. Dabei werden die Internetseiten-Besucher gebeten, auf der Bildoberfläche mit meist neun zufällig generierten Bildern, gleiche Motive zu erkennen oder einen semantischen Zusammenhang darzustellen, um damit „menschliche Intelligenz“ zu belegen.

• Rechenbasierte CAPTCHA-Verfahren: Bei einer rechenbasierten Verifizierung sollen Webseiten-Nutzer simple Mathematik-Aufgaben lösen und das Ergebnis eintragen, um ihre menschliche Denkfähigkeit zu demonstrieren.

• Logikbasierte CAPTCHA-Verfahren: Bei einem logikbasierten CAPTCHA erhalten die Webseiten-Nutzer vier zufällig generierte Symbole präsentiert. An dieser Stelle besteht die Aufgabe darin, das gefragte Symbol beispielsweise “Haus” anzuklicken.

• Audiobasierte CAPTCHA-Verfahren: Audiobasierte CAPTCHA-Authentifizierungen wurden erschaffen, um auch sehbehinderten Menschen einen Zugang zu captcha-geschützten Segmenten einer Webseite zu geben. In der Regel werden textbasierte oder bildbasierte Prüfverfahren mit so bezeichneten Audio-Captchas kombiniert. Häufig wird dazu eine Schaltfläche integriert, mit jener der Internetseiten-Besucher bei Bedarf ersatzweise eine Audio-Datei abfragen kann.

• Spielbasierte CAPTCHAS: Bei spielbasierten CAPTCHAs dreht es sich häufig um amüsante Minispiele, etwa Puzzle, bei denen die Puzzleteile an die richtige Stelle gerückt werden müssen.

CAPTCHA-Alternativen!

Die Gefährdung durch böswillige Netzwerk-Bots wächst konstant. Auch wenn der Einsatz von CAPTCHA-Verfahren einen gewissen Grundschutz bietet, stellen sie für Internetkriminelle sowie deren Bot-Armeen keinerlei unüberwindbare Barriere dar.
Auf diese Weise können diese anhand von modernen Machine-Learning Algorithmen oder künstlicher Intelligenz selbst komplexe Sicherheitsabfragen solide bewältigen.

Zudem werden inzwischen sogenannte „Captcha Solving Services“ zu Spottpreisen und Schnittstellen für die weitere Verwendung der erbeuteten Daten angeboten.

Weil sich Internet-Bots konstant weiterentwickeln und immer schlauer werden, sind auch die Programmierer bisheriger CAPTCHA-Lösungen gezwungen, mit dieser Entwicklung Schritt zu halten, um auch in der nahen Zukunft einen effektiven Webseiten-Schutz zu haben. Da das jedoch mit Verlusten in der Benutzerfreundlichkeit zusammenfällt und hauptsächlich Menschen mit Behinderungen oder Einschränkungen eine zusätzliche Barriere präsentiert, gibt es immer mehr Anbieter von weiteren Sicherheitslösungen wie Bots-Management, Content-Filter, Honeypots, serverseitige Filterung oder Whitelisting.

CAPTCHAS brauchen ergänzende IT-Sicherheitsmaßnahmen!

Grundsätzlich lässt sich vermerken, dass CAPTCHA-Lösungen nach wie vor wirksam vor böswilligen Internet-Bots, Spam-Nachrichten oder anderen Sorten von Webseiten-Missbrauch absichern können. Dennoch bieten sie ausschließlich einen Grundschutz und sollten im Optimalfall mit weiteren Sicherheitsmaßnahmen zum Bot-Schutz verbunden werden.

Wollen auch Sie Ihre Internetseiten, Webanwendungen oder Webdienste vor ausgeklügelten und zunehmend intelligenter werdenden Internet-Bots absichern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns!