網上輸入關鍵詞“破解驗證碼”,會出現1740萬個搜索結果。“驗證碼識別、輕松破解、暴力破解、邏輯漏洞破解、簡單破解”等等各類關鍵詞的內容,不一而足,關于“如何用破解某某驗證碼”的帖子更是多如牛毛。
2017年,紹興警方成功破獲了全國首例利用AI(人工智能)犯罪、侵犯公民個人信息案。犯罪嫌疑人楊某通過運用人工智能機器深度學習技術,可以讓程序軟件如ALPHAGO一樣自主操作識別,有效識別圖片驗證碼,又快又準,很短時間就能識別出上千上萬個驗證碼,而且能夠識別出98%以上的驗證碼,輕松繞過互聯網公司設置的驗證碼安全策略。驗證碼作為人機交互界面經常出現的關鍵要素,是身份核驗、防范風險、數據反爬的重要組成部分,廣泛應用網站、App上,在注冊、登錄、交易、交互等各類場景中發揮著巨大作用,具有真人識別、身份核驗的功能,在保障賬戶安全方面也具有重要作用,由此也成為黑灰產攻克破解的重要目標。為了破解驗證碼,黑灰產利用各種技術和手段快速批量快速破解,以滿足批量注冊、批量登錄、惡意盜取等不法操作的需要。
(資料圖片僅供參考)
黑灰產破解驗證碼的常見方式
黑灰產破解驗證碼的手段多樣化,但主要是機器破解和人工打碼兩種。
機器破解主要是通過識別圖片中的相關驗證要素來進行破解,例如識別滑動驗證碼的缺口,點選驗證碼中的文字要素和數字要素,其主要技術手段是圖像處理,圖像二值化,模擬滑動軌跡等相關技術。
黑灰產破解驗證碼的過程
第一步,首先制作網絡爬蟲工具,到各個驗證碼平臺爬取驗證碼的圖片素材。
第二步,生成驗證碼圖片素材的模型庫:例如旋轉類驗證碼,生成圖片旋轉模型庫;滑動類驗證碼,生成圖片滑動模型庫;拼圖類驗證碼,生成圖片拼接模型庫等等,以此類推。
第三步,遇到需要破解的驗證碼,程序迅速識別是哪類驗證碼:滑動?拼接?點選?旋轉?計算等等。
第四步,使用相似度算法,檢索此前驗證碼模型庫,并快速定位到相近的圖片;
第五步,模擬人類操作,旋轉/滑動/選擇/計算/拼接圖片至目標角度;
第六步,騙過驗證碼的核驗,獲得通過憑證。
機器破解的前期爬取圖片、建模的的工作量很大,技術門檻高。因此,黑灰產另一種門檻較低的破解方式“人工打碼”就應運而生。
第一步,建立或尋找一個任務平臺;
第二步,任務發布者(一般是黑灰產),將獲取到的驗證碼信息封裝成任務提交到打碼平臺;
第三步,打碼平臺作為中間的任務調度者,將發布的任務調度給領取任務的平臺用戶(專門做驗證碼驗證標注的人);
第四步,任務領取者,完成驗證碼的標注,然后將標注結果返回給任務平臺;
第五步,任務發布者(黑灰產)模擬人類用戶,拿著標注的驗證碼進行驗證;
第六步,騙過驗證碼的核驗,獲得通過憑證。
人工打碼有一個很明顯的缺點是單次請求耗時高,因為其破解的速度效率嚴重依賴于標注者的破解速度。
人機識別的攻與防
綜合來看,黑灰產破解驗證碼主要是基于驗證資源的窮舉以及識別,具有自動化攻擊、手段多、破解速度快、破解驗證碼形式多等特點。
第一、自動化攻擊。黑灰產使用自動化程序進行驗證碼破解,這種程序可以模擬人類操作,不斷嘗試多種可能性,并通過機器學習等技術對驗證碼進行分析和識別。
第二、攻擊手段多。黑灰產使用多種攻擊方式,如字典攻擊、暴力破解、文本識別、人工智能攻擊等,以提高攻擊的成功率。
第三、破解速度快。黑灰產使用高速攻擊技術,使其得以在短時間內嘗試大量的可能性,以達到破解驗證碼的目的。
第四、破解形式廣。黑灰產可以攻擊各種類型的驗證碼,包括文字、數字、圖片、語音等多種形式,甚至是復雜的混合驗證碼。
驗證碼要做好防守,必須針對黑灰產破解的時效性和高效性特點展開。
1、加快驗證碼圖庫更新。高頻率的生產圖片保證新的驗證圖片實時更新,從根源上杜絕打碼平臺拖庫。這樣就導致黑灰產的標注者,需要源源不斷地對新驗證圖片進行驗證,極大增加了黑灰產的識別與破解成本。
2、提升驗證要素識別難度。基于深度學習和神經網絡,生成一些難以被預測和重復的圖片、元素,并在驗證過程中加入時間戳或者隨機數等動態變化的因素,增加破解的難度,有效抵御機器破解。
3、基于驗證環境信息進行防御。在驗證碼的驗證環節采集有辨識度的環境信息,配置規則和策略來,篩選出可能是黑灰產的請求進行二次驗證或攔截。例如,判斷完成驗證時的驗證環境信息和token上報時的驗證環境信息是否一致,對多次惡意攻擊的IP地址進行攔截,限制驗證碼輸入的次數等。
圖片
AIGC加持,給驗證碼帶來革命性變化
AIGC,全名“AI generated content”,又稱生成式AI,意為人工智能生成內容,具有文本續寫,文字轉圖像、數字主持人等應用。其原理是利用人工智能技術中的自然語言處理、機器學習、深度學習等技術,對大量的語言數據進行分析、學習和模擬,從而實現對自然語言的理解和生成。AIGC起源于20世紀90年代,直到2022年OpenAI推出ChatGPT3.5后,才被廣為所知。
AIGC技術給驗證碼的研發和應用帶來了很多新的價值,不僅提升用戶體驗,帶來新的驗證方式,更增強驗證碼的安全性,當然也給驗證安全帶來新的安全挑戰。
1、無限生產驗證圖片。通過AIGC能夠文本描述快速生成對應圖像,減少時間成本和工作量。無限量的圖像素材,使得基于遍歷圖庫的破解方式失效,大大增強驗證碼的破解難度。而且AIGC能夠根據企業業務場景,生成個性化定制驗證碼圖片。在拼圖、旋轉、滑動等驗證方式下,如果黑灰產不知道驗證圖片,就無法完成破解。
2、創造新型驗證方式。利用AIGC,可以優化已有的驗證方式,甚至創造出一些對用戶友好、但機器識別難度較高的新型驗證碼。比如,常見的滑塊驗證碼,由于為了保證有足夠識別度,目標缺口的像素與周圍的像素需要有一些差異,因而往往非常容易識別,進而輕易判斷出滑塊的目標位置,因而安全性并不高。利用AIGC,可以設計出沒有缺口的滑塊驗證碼,要判斷出目標位置需要理解圖像的語義,由此增加黑灰產的破解難度。
圖片
傳統的帶有缺口的驗證碼圖片
圖片
AIGC生成的無缺口的驗證碼圖片
再比如,谷歌的reCAPTCHA,實際上可以視為一個目標檢測的問題,對于機器視覺來說并不困難。但若改為給定一句文字描述,“找出九宮格中符合該描述的圖片”,就可以將目標檢測升級為語義匹配,對于機器而言,難度提升了多個數量級。
圖片谷歌的reCAPTCHA示例:點選包含道路的圖片
圖片AIGC生成的圖文語義匹配驗證碼圖片
3、增加黑灰產破解成本。基于AIGC技術生產圖片或文字相對容易,但要匹配文字和圖片是相對困難的。AIGC規模化的生成海量圖片有一定隨機性且不可逆,黑灰產要破解驗證碼,就需要理解圖像的語義,這就需要使用到大語言模型和超大算力,成本非常高,而且大語言模型并不能開箱即用,需要二次配置定義,大部分的黑灰產并不具備利用大模型做破解模型的能力。
4、良好改善用戶體驗。基于AIGC生成的圖像具有高度的精準度,進一步提升驗證碼的用戶體驗。例如,空間語義驗證方式中,基于AIGC生成的圖片3D效果更為逼真,更便于用戶識別空間信息。同時,也會讓驗證碼提供商摒棄藝術字、數字字母變體等影響用戶體驗的驗證方式,在不影響用戶體驗的同時,增加機器識別的難度。
圖片AIGC生成3D效果圖示例
圖片AIGC生成3D效果圖示例
5、推動企業提升驗證碼的安全對抗性。此外,黑產也可以利用AIGC增強破解能力。基于AIGC,黑灰產不再需要采集驗證碼廠商的圖庫并打標,就能訓練模型識別各種藝術字。具體來說,黑灰產可以利用AIGC自動生成大量漢字對應的各種樣式的藝術字,作為數據集訓練模型,使該模型能夠非常魯棒地識別任何風格的藝術字。也許在不久的將來,藝術字驗證碼這種驗證方式將完全失效。由此,進一步推動驗證碼企業提升驗證方式的安全性和對抗性。
圖片
為防范黑灰產,頂象構建了專屬AIGC平臺
頂象構建了一個基于Stable Diffusion模型專屬AGIC平臺,由百余個GPU的小型計算集群組成。該模型基于Latent Diffusion Models(潛在擴散模型,LDMs)的文圖生成(text-to-image),根據文本描述,自動快速海量地生成相應圖片。
具體來說,Stable Diffusion模型使用LDMs來從文本描述中提取相應的語義信息,然后將其投入到擴散過程中,由此產生隨機的潛在向量,這些向量接著通過逆變換網絡(inverse transformation network)轉換為圖像。擴散過程基于連續時間的馬爾可夫鏈(Markov chain),采用隨機漫步的方式進行迭代,并且每一次迭代都會增加一定的噪聲。噪聲的引入能夠使得生成的圖像具有更多的隨機性和多樣性,增加模型的創造力。同時,該模型還使用了自適應步長的方法,以在較短的時間內快速生成高分辨率的圖像。
圖片Stable Diffusion模型應用原理
Stable Diffusion良好解決時間成本和經濟成本問題。如果要生成一張1024*1024尺寸的圖像,Latent Diffusion通過在一個潛在表示空間(Latent Space)中迭代“去噪”,然后將表示結果解碼為完整的圖像,讓文圖生成能夠在消費級GPU上以10秒級別的時間生成圖片,大大降低了業務落地門檻。
圖片AGIC+無感驗證,讓安全與體驗兼得
頂象無感驗證集成的就是Stable Diffusion文本到圖像生成開源模型。作為首個使用AIGC技術的業務安全產品,頂象無感驗證在五個方面有顯著提升。
1、風險攔截率提升19%。使用靜態圖庫作為驗證碼圖片時,圖庫更新一周以后,爬蟲的攔截防御能力會出現明顯的效果衰減,一個月左右,惡意爬蟲通過率會達到20%。使用AIGC生成圖片后,爬蟲通過驗證通過率立即下降至0.8%以下,且長時間維持在1%以內。相比之前靜態圖庫的情況下,AIGC大幅提高了驗證難度和防御能力。
使用靜態圖庫時,惡意爬蟲的通過率
圖片使用AIGC圖庫時,惡意爬蟲的通過率
2、管理員配置效率提升50%。原先使用靜態圖片時,需要管理人員進行手動調整配置的圖集、圖標庫等要素,現在AIGC自動生成的圖集直接減少多個配置環節,效率提升50%。
圖片AIGC可自動生成
3、用戶辨識度提升70%。在我們組織的AIGC和靜態圖片的對比實驗中,85%的參與者認為使用AIGC生成的主題圖片更加生動和豐富;在與視覺設計師調查中,92%的人表示喜歡使用AIGC生成的圖片;在我們的另外一個對比實驗中,100名非深度驗證碼使用者,觀看使用AIGC生成的主題圖片和使用傳統3D模型生成的靜態主題圖片,結果顯示,AIGC生成的主題圖片辨識度提升了70%。
85%人認為AIGC圖片更加生動和豐富
92%的人喜歡使用AIGC生成的圖片
4、黑灰產破解成本增加10倍。使用靜態圖庫時,因為驗證碼圖集有限,攻擊者只需定期爬取主題圖片,然后針對性地打標訓練新的識別模型,就可快速破解。AIGC技術能夠生成海量圖片,且有一定隨機性且不可逆,使攻擊者打標訓練成本可增加10倍以上,大幅增加機器破解的難度。
6、圖片的生產數量提升8640倍。使用靜態圖庫時,驗證碼企業需要一個月更新一次圖庫,每次更新圖片幾百到幾千張,平均每天只能設計幾十張圖。使用AIGC后,以單個GPU計算機為例,利用AIGC技術20秒就可以生成一張圖片。使用100個GPU的小型計算集群,一天就可以生成43萬2000張新的圖片,一個月可以生成超過1000萬張新圖片。AIGC的生產能力是人工制圖的8640倍。
圖片AIGC與人工單日生產圖片的數量對比
頂象無感驗證集成13種驗證方式,多種防控策略,匯集了4380條風險策略、112類風險情報、覆蓋24個行業、118種風險類型,防控精準度>99.9%,1天內便可實現從風險到情報的轉化,行業風險感知能力實力加強,同時支持安全用戶無感通過,實時對抗處置能力更是縮減至60s內。幫助企業在登錄、注冊、支付等場景中實現快速驗證身份,大大提高了服務體驗的便捷性和效率。
后續,AIGC能力將集成到頂象防御云各個模塊,應用到各個行業和場景中。作為國內首個使用AIGC的業務安全企業,頂象展示了AIGC技術在業務安全領域的廣泛應用和巨大潛力,促進整個行業的技術創新和發展。通過AIGC技術在驗證碼等業務安全產品上的落地,頂象將為客戶提供更加安全和可靠的服務,將幫助企業更好地抵御各類風險與威脅,助力業務健康發展。
業務安全大講堂:立即報名
業務安全產品:免費試用
業務安全交流群:加入暢聊
標簽:
據各方數據,1月31日上午10時許,深圳出品的動畫電影《熊出沒·伴我熊芯》票房突破10億元,在首日票房、檔期票房、連續破億天數等多方面打
1月27日,攜程發布的《2023年春節旅游總結報告》顯示,今年春節,深圳游客的出境游訂單量同比去年增長近5倍。相較國內熱門景點的人山人海,
1月27日,記者從深圳市文化廣電旅游體育局獲悉,2023年春節黃金周期間(1月21日至27日),深圳共接待游客469 25萬人次,旅游收入31 58億元,
據深圳市春運辦統計,1月15日和16日連續兩天,深圳對外發送旅客人數都在48萬左右,春運進入客流高峰期。1月15日,深圳春運對外旅客發送量達
新年音樂會是觀眾喜聞樂見的年度重要文化品牌活動,多年來已成為深圳市民跨歲迎新的例牌項目。12月30日、31日晚,深圳交響樂團將在深圳音樂
作為來深科研人員中的一員,中山大學附屬第八醫院的助理研究員郭雅婕對深圳在人才服務方面的舉措贊不絕口:我作為基礎研究人員,很希望自己
12月1日晚8點,2023年故宮年票正式開售。相比于去年,今年購票順暢了許多。據了解,2022年故宮年票發售時,因短時間內購買年票人數過多,曾
昨日,冷空氣到達,廣州氣溫逐步下降。據商超方面預測,隨著氣溫的逐漸下降,市民對于御寒類商品消費需求有所上升,不少廣州商超準備了有關
小井蓋、大民生。今年以來,深圳開展全市窨井蓋專項治理工作成效顯著。截至11月20日,全市共排查窨井蓋約350萬個,發現存在問題的窨井蓋約3
備受關注的汕汕(汕頭至汕尾)鐵路汕頭站及站區工程近日傳出最新動態:項目已順利完成工程招標工作,由中鐵建設集團有限公司中標承建。目前,
新聞追蹤丨弘揚正氣!廣東勇救落水少
3月27日深夜,廣東省中山市一名17歲少女一時沖動跳河輕生。正陪家人到當地看病的萊西公安輔警辛得福發現后
仙境海岸丨青島中山路又掀起“逛街里
編者按:2023年,山東全面啟動沿膠濟鐵路線、沿黃河、沿大運河、沿齊長城、沿黃渤海“四廊一線”文化體驗廊
全球消息!數說黃渤海 | “6年”“
4月17日至22日,山東省委宣傳部開展“走黃渤海文化體驗廊道”主題采訪活動,聚焦黃渤海沿線高質量發展。4月
行走黃渤海丨“一塔雙星酒店”即將啟
4月21日,“走黃渤海文化體驗廊道”主題采訪團來到山東青島。作為釣魚臺美高梅酒店集團首個雙品牌酒店項目
青島市市南區強招引促落地 打好招商
半島網4月23日訊(記者李京媛通訊員王瑋)招商引資是推動經濟社會高質量發展的強力引擎,也是實現產業轉型
全球快報:廣東公布地方標準立項計劃
新京報訊據廣東省市場監管局消息,經論證評估,廣東省市場監管局擬對126項地方標準制修訂計劃予以立項,其
前沿熱點:秋田微:5G通訊用波長選擇
秋田微(300939)04月23日在投資者關系平臺上答復了投資者關心的問題。投資者:公司的光模塊核心組件WSS硅基
廣東科技學院讀書月活動舉行,師生現
文、圖 羊城晚報全媒體記者余曉玲通訊員廣科宣4月23日世界讀書日前夕,廣東科技學院舉辦了第十六屆讀書月活
房東漲價現象增加,深圳中介平臺房源
深圳相關部門已向部分中介機構發通知,要求其平臺對外展示的房源價格必須嚴格按照指導價進行公示,不以指導
環球快消息!英語姓名的一般結構是什
英文名字的含義,1、英文名的英文說法是Englishname,各國家都比較流行英文名,世界交流較廣,有了英文名方
氣門響是什么原因?解決方案是什么?
氣門響怎么辦,原因及解決方案如下:1、氣門間隙過大,特別是當車主進行發動機清洗過后更容易出現這種情況
宿新市徐公店描述了什么現象?作者是
宿新市徐公店這首詩題目的意思,《宿新市徐公店》這首詩題目的意思是詩人住在新市里一家姓徐的人開的旅店。
主角一個人的網游小說有哪些推薦?書
主角一個人的網游小說,1、《從零開始》,作者雷云風暴;2、《網游之焚盡八荒》,作者單身優質男;3、《獨
肯德基dimoo在哪些門店銷售?dimoo是
肯德基dimoo哪些城市有,肯德基dimoo在全國有售,但是不是所有門店都有,具體的售賣情況可向門店的員工咨詢
黃山四絕是指哪些?有什么含義?|全
黃山四絕是什么,奇松、怪石、云海、溫泉。黃山峰石在云海中時隱時現,似真似幻,使人感到一種縹緲仙境般美
自己在家怎么熬枇杷膏?需要用到哪些
家庭如何熬枇杷膏,枇杷洗凈撈出瀝干水分。枇杷去皮,果肉放入燉鍋中,放入一斤黃冰糖,果肉和冰糖的比例2:
win7升級win10數據會丟失嗎?win7升
win7升級win10數據會丟失嗎?win7升級win10數據不會丟失;在安裝win10后,硬盤原有分區不會改變,原系統分區C里面會多了一個名為old的文件夾
簡單又漂亮的新年賀卡如何做?需要準
簡單又漂亮的新年賀卡怎么做,最近有朋友問道簡單又漂亮的新年賀卡怎么做,今天就來簡單的介紹一下,希望可
天天觀天下!螳螂捕蟬是什么故事?有
螳螂捕蟬的故事,螳螂捕蟬的故事:園中有一棵榆樹,樹上有一只知了。知了鼓動翅膀悲切地鳴叫著,準備吮吸清
李四光計劃是指什么?進了李四光計劃
進了李四光計劃一定能保研嗎,進了李四光計劃不一定能保研,只是保研幾率比較大,被該計劃選中的學生,其學
歷屆舉辦奧運會的國家是什么?奧運會
歷屆舉辦奧運會的國家,歷屆舉辦奧運會的國家有希臘、法國、美國、英國、瑞典、德國、比利時、法國、荷蘭、
全球聚焦:生栗子如何剝皮?方法有哪
生栗子怎么好剝皮,生栗子容易剝皮的方法如下:熱水浸泡法:1、生栗子剝皮前先用刀在栗子上劃個十字形;2、
衣服上的鐵銹如何清洗?詳細方法是什
衣服上鐵銹怎么清洗,衣服上的鐵銹清洗方法:如果衣服上的銹跡很多的話,可以使用專門洗衣服的除銹劑對衣服
重陽節是哪一天?重陽節有什么習俗?
重陽節是幾月幾日2020,2020年的重陽節公歷日期是2020年10月25日。重陽節,農歷九月初九,二九相重,稱為重
驅動人生和驅動精靈哪個好用?驅動人
驅動人生和驅動精靈哪個好用?綜合來講應該是驅動人生更好用一點首先這兩款軟件都是免費使用的,但是驅動人生沒有廣告,能夠用戶有更好的體驗
帶龍字的成語有哪些?分別是什么意思
帶龍字的成語關于龍的成語有哪些,龍飛鳳舞、龍鳳呈祥、龍肝豹胎、龍駒鳳雛、龍馬精神、龍鳴獅吼、龍盤虎踞
延禧攻略是誰寫的?講述了什么故事?
延禧攻略原著是哪本,《延禧攻略》這部電視劇是原創劇本,并不是網絡小說改編的,但是在電視劇播出后根據同
win7任務欄可以改變大小和位置嗎?wi
win7任務欄可以改變大小和位置嗎?首先鼠標右擊任務欄,取消勾選鎖定任務欄選項;這時候將鼠標移動到任務欄的邊緣,就會變成如下形式,這時候就
當前速看:司馬昭之心路人皆知是什么
司馬昭之心路人皆知的典故怎么講,司馬昭之心路人皆知典故:三國時,魏文帝曹丕死后,由司馬懿和曹爽輔佐曹
咸安官埠橋鎮:共建清潔家園 共享健
掌上咸寧報道今年4月是第35個愛國衛生月,咸安區官埠橋鎮圍繞“宜居靚家園健康新生活”活動主題深入開展群