打碼平臺是如何運作的?再談驗證碼安全

習慣了互聯網生活的我們,肯定也習慣了驗證碼的存在。我們通常說的驗證碼可以大致分為兩大類:

  1. 區分是人還是機器人的驗證碼
  2. 驗證個人身份的驗證碼

我們通過實例來看一下,當你登錄12306購買火車票時,12306需要你輸入這樣的驗證碼:

12306驗證碼

這其實是12306在驗證你是真人還是機器人,如果你能正確輸入驗證碼,網站視為你是真人。當然,這個驗證是不是百分之百能區分真人和機器人,那又是另一回事。

另一種就是驗證身份的驗證碼,以短信驗證碼最常見,比如說你換個手機登錄支付寶,支付寶服務器就會發送一條短信驗證碼到你的手機上,驗證你確實是這個手機號碼的持有人。

手機驗證碼

需要攻破驗證碼的場景

不好意思,我們一言不合就談“攻破驗證碼”。對黑產來說,兩類驗證碼對應兩種攻破驗證碼的需求:

1.如果黑產希望批量注冊賬號,比如說某個網站搞活動發福利,如果能注冊海量的賬號參與抽獎,就有很大的把握弄到福利,這時候就需要突破注冊時的驗證碼。

或者批量下訂單、批量參加活動,凡是涉及到用機器批量參與到這類活動當中,只要服務方設置了驗證環節,都需要突破驗證碼。

2.如果黑產盜取了用戶的賬號和密碼,希望從賬戶中盜取財產,就需要驗證碼了。但是,問題在于,短信驗證碼是發到用戶手機上,這時候黑產就需要想辦法騙到這個短信驗證碼,至于騙的方式也是五花八門,現在常見的盜取銀行卡財富的都是這樣。

打碼平臺的出現

前文提到的第一類驗證碼本質上是圖靈測試,不能讓計算機通過而且得讓人類很容易通過,這這個前提下,驗證碼和反驗證碼之間就像一場漫長的無硝煙戰爭,從發展之初漸漸演變成今天的樣子。

但是,有一種事物的出現, 打破了驗證碼與反驗證碼之間的平衡:打碼平臺

所謂“打碼”,就是利用人工大量輸入驗證碼的意思。

由于驗證碼圖像生成技術無論成本和難度都要遠遠低于圖像解碼識別技術,就拿這種簡單的驗證碼來說:

普通驗證碼

我們肉眼一看就知道是“211”,但是要想讓計算機識別,就得遍歷所有像素點,然后二值化,得到一個數組,再分析數組,刪除干擾的點、線,對數組進行匹配。如果通過率不高的話,還需要組織大量的樣本對算法進行訓練。

整個過程想想都麻煩!于是,破解驗證碼從自動化逐漸轉變成使用人工,即雇傭人去解碼,而不是研發新的解碼系統。

打碼平臺長什么樣

打碼平臺更類似兼職平臺,除了人工輸入驗證碼之外,還能把很多人的閑暇時間利用起來。注冊打碼平臺,服務端會自動把驗證碼發送到客戶端,打碼工只需要識別驗證碼中文字并輸入即可,就像這樣:

打碼工具

打碼工根據打碼的數量來計算收入,一般會有一個計算方法,包括正確率、完成數等。有的驗證碼平臺會限制IP,所以有的打碼客戶端可以在碼的過程中不時地更換IP。

換IP打碼工具

2006年開始,中國互聯網的游戲和電商開始了高速發展,流量終于可以變現。郵件營銷,SEO,IM工具營銷等開始火熱,打碼模式到了新的發展高度,由于打碼軟件用戶的特殊性,也是為了隱藏自己,目前的打碼組織都是通過API 來分發,而集成到專有專用的軟件中使用(一般使用打碼API的軟件都是定制開發)。

這就讓打碼模式更上一層樓了,假設我想要定制一個郵件營銷的程序,如果需要識別驗證碼,我只需要在軟件中接入打碼組織的API,沖上錢,那么驗證碼系統就再無法阻攔這個程序。

很有意思的是,打碼模式其實是起源于中國,這與中國人力成本低也有很大的關系?,F在,打碼模式已經傳到了全球各地,各大第三世界國家很多人靠打碼為生,不完全統計有100萬以上的打碼工人存在。

也算是“中國創造”走向世界的一個范例吧。

大发快3