Bastano 100 dollari per aggirare i sistemi antifrode e bot online

Sono sempre più a buon mercato gli strumenti per aggirare i blocchi dei siti a bot e riuscire a manipolare il traffico web

Burattini di Pinocchio (Getty Images)

Da anni una delle seccature che chiunque navighi online ha incontrato è il famigerato captcha e la sua richiesta di dimostrare di non essere un robot. Captcha non è altri che l’acronimo di Completely automated public Turing test to tell computers and humans apart, ovvero un test di Turing automatico per distinguere essere umani da computer.

All’inizio si trattava di lettere distorte, che l’utente doveva riconoscere e digitare. Poi si è iniziato a chiedere di indicare tutti i riquadri in cui si vedeva un semaforo o un’auto. Questo tuttavia è solo uno dei tanti sistemi che siti e browser ospitano per evitare un certo tipo di frodi informatiche, quelle per esempio che gonfiano il traffico di un sito per farlo salire nei risultati dei motori di ricerca o tra le pagine suggerite su Facebook. Se il captcha già nel 2014 veniva sconfitto dagli ingegneri di Google nel 99.8% dei casi, quando parliamo di cybersicurezza non c’è mai una battaglia finale, trattandosi più di una storia infinita.

Come identificare l’utente per combattere una frode online

Da qualche anno esistono diversi software che offrono la soluzione definitiva per aggirare i sistemi anti-frode forniti da Google, Amazon e Facebook. Se ormai tutti i siti su cui navighiamo implementano il protocollo https, che cifra e nasconde ad occhi indiscreti i numeri della nostra carta di credito quando effettuiamo un pagamento, cosa diversa è riuscire a restare anonimi online. Il motivo è che ogni volta che navighiamo in rete lasciamo delle tracce.
Non parliamo solo dei famigerati cookie, ma di tutte le impostazioni e informazioni che il nostro computer o smartphone forniscono. Si tratta di identificatori che ci rendono praticamente unici, anche senza sapere il nostro nome e cognome. Parliamo del browser che usiamo, del sistema operativo, della lingua, della geolocalizzazione del computer, del microfono e della fotocamera. Così come rivelatori sono anche i plugin che abbiamo installati nel browser e i font. Queste caratteristiche, apparentemente insignificanti, combinate tra loro creano un’immagine univoca di noi. 

L’effetto, oltre a quello di profilarci meglio per offrirci banner pubblicitari più mirati, è di verificare che siamo utenti umani. Da tempo infatti è possibile creare finti utenti (bot) che facciano sembrare un profilo Instagram o una pagina Facebook più seguiti di quanto non siano.

Un altro scopo è quello di falsare il traffico di un sito per poter guadagnare di più dalle inserzioni pubblicitarie o salire nel ranking di Google e comparire in poco tempo tra i primi risultati. Per questo Google, Amazon e Facebook lavorano per identificare, grazie all’intelligenza artificiale, questi finti utenti. Combinano dunque le informazioni sugli utenti. Per esempio, se verificano che mille di questi sono localizzati tutti nello stesso punto, è probabile che si tratti di bot.

Come funzionano i nuovi software made in Russia

E proprio qui che vengono in aiuto diversi software che risolvono il problema di chi vuole falsare il sistema. Ne ha scritto il Wall Street Journal, evidenziando come molti di questi siano di origine russa e, per una media di 100 dollari al mese, garantiscono di poter aggirare le soluzione anti frode oggi sul mercato. Di base funzionano come dei browser e sostituiscono i più noti Google Chrome, Firefox e Safari. 

Quello che fanno è creare decine di migliaia di identificatori per falsare la presenza di utenti umani. Per esempio, grazie a sofisticati algoritmi, simulano un essere umano che scrive alla tastiera riuscendo a ingannare i software anti frode. Permettono di creare centinaia di utenti finti che risultano usare browser diversi, plugin diversi e vivere in diverse parti del mondo. In questo modo quando si connettono a una stessa pagina, sembrano reali. 

[ ]

È ovvio che le big tech hanno tutto l’interesse a bloccare questi software perché alterano il mercato della pubblicità che li alimenta. Se tutte le statistiche sul traffico possono essere facilmente falsate, gli inserzionisti pubblicitari non investono più. Dal canto loro, i produttori dichiarano che gli scopi sono legittimi e nobili. Possono essere usati per garantire un anonimato migliore di quello offerto da Tor, o per ricercatori di sicurezza informatica che vogliano fare dei legittimi test di attacco alla propria società per trovarne le vulnerabilità e migliorarne i sistemi. Difficile capire se questa sia solo una foglia di fico o la verità, resta il fatto che i responsabili della cybersicurezza hanno un nuovo problema da risolvere.

Fonte : Wired