Взломщики CAPTCHA заработали $25 млн

    Уникальное в своём роде дело начал рассматривать суд Нью-Джерси. Группа мошенников и программистов обвиняется (акт, PDF, 43 стр.) в том, что с 2002 по 2009 годы заработала около $25 млн на нелегальной перепродаже билетов на концерты, спортивные состязания и другие мероприятия. Потерпевшая сторона — онлайновые сайты по продаже билетов, в том числе Ticketmaster, Musictoday и Tickets.com.

    Афера примечательна тем, что мошенники наладили автоматическую систему по покупке билетов на онлайновых распродажах. Они зарегистрировали две фирмы (Smaug и Platinum Technologies) исключительно для покупки диапазонов IP-адресов и съёма серверов в аренду, а также для регистрации около 1000 телефонных номеров. Через всю эту инфраструктуру осуществлялась покупка билетов якобы от уникальных покупателей.

    Вся афера была основана на взломе визуальных и звуковых CAPTCHA. Мошенникам удалось эффективно взломать систему reCAPTCHA при помощи перехвата пользователей, пытающихся логиниться на Facebook, где используется такая же система, и автоматическое составление базы правильных ответов.

    Разработка системы по взлому CAPTCHA стоила, по примерным оценкам, несколько миллионов долларов. Дело в том, что на некоторые популярные события вся распродажа завершалась в течение 30 секунд, поэтому взлом CAPTCHA должен был работать очень эффективно. Спроектированные боты автоматически заполняли все необходимые поля и автоматически осуществляли тысячи сделок покупки одновременно.

    Одним из главных обвиняемых по всем мошенничествам является 37-летний программист и системный администратор компании Джоел Стивенсон (Joel Stevenson), который лично написал основную часть кода для проведения онлайновых афер, а также управлял командой программистов в США и Болгарии. Известно, что трём болгарским программистам платили от $1000 до $1500 в месяц.

    Скупка билетов обрела такие масштабы, что по некоторым событиям Wiseguy стал вообще крупнейшим дистрибьютором билетов. Естественно, у него их можно было купить дешевле, чем у конкурентов. Достаточно сказать, что в 2007 году компания Wiseguy предлагала своим сотрудникам премию 100% к зарплате, если они смогут вывести компанию на уровень покупки 1 млн билетов определённой стоимости.

    В 2007 году фирма фактически взломала лотерейный розыгрыш дефицитных билетов на плей-офф команды NY Yankees. Розыгрыш был ограничен двумя билетами в одни руки, а компания смогла «выиграть» 1924 билета, которые потом были проданы примерно за $159.000.

    Две мошеннические фирмы обнаглели до того, что даже размещали объявления о найме на работу программистов, у которых есть опыт в разработке систем по взлому CAPTCHA. Они также выискивали и приглашали на интервью бывших сотрудников фирм-жертв, чтобы выяснить технические подробности мер защиты, детали CAPTCHA-систем и алгоритмы блокирования IP-адресов.

    via Wired
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 109

      +45
      Молодца!
        –18
        В Совок бы таких отправить, постоять у таких полочек
          +3
          Собственно наезд не очень честный. Не хочешь мошенничества — не устраивай сам для себя ловушек типа бесплатного сыра (разыгранных билетов) и скидок.
            0
            поясните
        • UFO just landed and posted this here
            +5
            скорее всего капчи вбивали индусы)
            • UFO just landed and posted this here
                0
                Да, но не так быстро как им требовалось. Смысл был в скорости.
          • UFO just landed and posted this here
            • UFO just landed and posted this here
                +22
                Ловили на улице, заламывали руки, привязывали к стулу, заставляли логиниться на фэйсбук с левыми каптчами, после двух дней — отпускали.
                  0
                  да не, пока его поймаешь просто — уже все билеты разберут :D
                    +1
                    Гм, новый вид рабства? CAPTCHA-рабство? :)
                    +3
                    Фишинг, скорее всего
                      +3
                      похожий на facebook.com url на нем клон facebook.com леменг набирает имя, пароль (их запоминаем- так про запас...) говорим: неправильно! Попробуй с капчей! Он пробует, еще и еще пока не отдуплится…
                        0
                        похоже на трояна, который запоминает, что ввобилось при заполнении логин формы на фейсбуке.

                        фишингом можно было бы воровать логин/пароль
                        0
                        скорее всего покупали «загрузки» и перенаправляли зараженные машины на свой сайт вместо фейсбука либо использовали подмену в браузере жертв.
                          +2
                          видел комп юзера, у которога при запуске винды «вдруг» всплывала ReCaptcha
                            0
                            А там было поле для ввода ответа? ;)
                              0
                              в том и дело што было)
                              0
                              это скорее всего Jdownloader с очередью автоматом запускался
                              он на тех сайтах где сам сломать капчу не может окошко показывает пользователю
                                0
                                не видел я чтоб Recpatcha стояла на фаилобмениках
                          +1
                          Ай да шайтаны! Ай да молодца!
                          Не обнаглей в корень попадись вообще было бы забавно :)
                            +5
                            [irony]
                            Люди шли к успеху, создавали софт по прохождению теста Тьюринга, можно сказать почти создали искусственный интеллект, а их судить…
                            [/irony]

                            а если серъезнее, мне кажется, что как порно долго было лидером по трафику в сети,
                            так и распознающие, торгующие боты (вспомните и о биржевой торговле) вероятно будут первыми, если уж не массовыми, то не_академическими разработками на тему ИИ.
                              +34
                              Ужасные преступники!
                              Полько подумайте, они покупали билеты и… перепродавали их!
                                +1
                                По студенчеству я тоже занимался пару раз этим, но я честно стоял с утра в очереди фанатов, а потом перепродавал билеты на ebay :) Пока не прочитал мелкий текст на обратной стороне билета — там грозили судом и штрафом в 2500€ за спекуляцию билетами, ну я забоялся и перестал :)

                                Имхо, виноваты сами «онлайновые сайты по продаже билетов» — не смогли отфильтровать спекулятнов. Тут ведь даже капча не нужна, достаточно не давать покупать больше одного-двух билетов на один номер кредитной карты. Ну и, если по уму, то билеты на востребованные мероприятия лучше сразу продавать на аукционе, чтобы спекуляции стали невыгодными.
                                  +2
                                  > виноваты сами «онлайновые сайты по продаже билетов» — не смогли отфильтровать спекулятнов
                                  на каждую хитрую жопу найдется свой болт с обратной резьбой
                                  если вас ночью стукнут по голове и отберут деньги — значит вы виноваты что каску не надели?
                                    +1
                                    Аналогия за уши притянута.
                                    Стукнуть по голове и отобрать деньги — эти действия по определению уголовщина.

                                    А разгадать капчу на сайте, купить билет и перепродать его дороже — вполне себе законно. И если вы купите билет для себя, но не сможете пойти на концерт и продадите свой билет на ebay, то никто вас за это не некажет — не за что.
                                    Это примерно как скупить в магазине все айфоны и торговать через интернет — куча онлайн-шопов этим занимается соверешенно легально.
                                      0
                                      Если вы купите билет для себя, то вы все делате по закону и билет ваш, можете его продать (кстати в некоторых штатах есть закон, запрещающий перепродавать билеты дороже их официальной стоимости)

                                      Если вы напишете бота, который взломает капчу и купит 100 билетов, то взлом будет нарушением закона. Заметьте, не покупка с перепродажей, а факт взлома.
                                        +1
                                        Это примерно, как если бы вы ночью вломились в магазин с айфонами. Даже если бы вы оставили деньги на прилавке — это все равно преступление
                                          0
                                          Интересный кстати момент, что в данном случае значит «взлом».

                                          Если смотреть чисто со стороны сайта, где продаются билеты, то на нём есть форма, на форме - некий набор полей для ввода (да, одно из них капча, но разве у капчи есть какое-то особое юридическое значение?); некий робот заполняет поля ввода и отправляет форму. Что здесь «взлом»?

                                          Если там они как-то незаконно перехватывали что-то на facebook — это да, наверное, взлом, но именно фейсбука, а не этого вот сайта (сайтов) с билетами.
                                            0
                                            т.е. если дверь не стальная, то можно заходить и забирать все что плохо лежит?
                                              0
                                              Да в том-то и дело, что двери-то нет.

                                              Точнее, есть например дверь, которая открыта для всех, кроме блондинов.

                                              Блондин надевает парик брюнета и проходит. Это взлом двери?
                                                0
                                                Вы владелец отеля. Дверь закрыта на защелку и висит табличка «вход разрешен только постояльцам».

                                                Пока вас нету приходит незнакомец, у него на голове маска зайчика, чтобы лицо не попало на камеры наблюдения. Он просовывает руку в окно и открывает защелку. После чего он спит в обуви на кровати, устраивает скандал с настоящими жильцами, выпивает все виски из бара и уходит, оставив на столе смятые банкноты.

                                                Он поступил совершенно нормально, ведь дверь он не взламывал отмычками. К тому же расплатился за все. А то что влез без спросу и клиентов распугал — так это мелочи, вы сами виноваты, что сигнализацию не поставили.

                                                Так?
                                                  0
                                                  Некрасиво поступил, согласен. И карму себе подпортил, и вообще это неэтично, тут спору нет.

                                                  Просто я хотел подчеркнуть, что это не тождественно «взлому двери», чтобы судить за это, как за взлом.

                                                  Это нехорошо, и может даже и незаконно, но не так сильно, как настоящий взлом, с подбором чужого пароля и получения доступа к защищённым данным.
                                                    0
                                                    Вот если, например, я лично напишу программу, которая будет лично для меня же бронировать билеты на их сайте, «взламывая» при этом капчу.

                                                    И с помощью неё куплю 2 билета себе и девушке.

                                                    Вот это у меня никак не укладывается, как незаконное деяние.

                                                    А если так, то выходит, сам по себе взлом каптчи — не преступление.
                                                      0
                                                      Нннууу, это уже довольно серая область будет
                                                      Формально вы будете неправы, потому что нарушаете пользовательское соглашение. Т.е. продавец вполне сможет вернуть вам деньги и отобрать билеты, если это всплывет.
                                                      Морально вы тоже будете не очень правы, в том случае, если вы использовали свою программу, чтобы ухватить себе хорошие места раньше всех.
                                                      Другое дело, что всем скорее всего будет пофиг, потому что масштабы маленькие.

                                                      А тут дело явно другое. Ребята действуют а) аморально б) незаконно. Поэтому я не вижу никаких проблем в том, чтобы их судить по той статье которую они нарушают, даже если это не самое главное что они сделали. Это как когда Аль Капоне посадили за неуплату налогов, хотя всем было понятно что это только удобный повод.
                                                        0
                                                        > Формально вы будете неправы, потому что нарушаете пользовательское соглашение.

                                                        Вот с этого надо было начинать. Пока не процитировано соглашение, где говорится, что нельзя использовать программы, формально я не буду неправ.

                                                        Но возникает вопрос, а как же браузер? Его можно? А тогда браузер простой от узкоспециализированного браузера с «возможностью быстрого бронирования» на конкретно этом сайте как юридически отличить?

                                                        А с моральной. Почему я не прав? Я умный, написал программу, за это получил бонус. Если я тут неправ, то тогда точно так же неправы те, у кого быстрое соединение — они нечестным образом отбирают билеты у тех, у кого медленное, нет?
                                                          –1
                                                          Вам обязательно нужна цитата или поверите на слово? :)

                                                          Браузер простой от браузера специализированного отличается примерно тем же чем ключи простые отличаются от ключей универсальных, в просторечьи «отмычек»

                                                          Я потому и сказал, что это серая область и вы «не очень правы». Я не считаю, что это жуткое преступление, заработать для личного использования хорошие билеты собственным умом, но что-то тут все таки есть эдакое.
                                                          • UFO just landed and posted this here
                                                              0
                                                              а шпилька для волос является отмычкой?
                                              0
                                              Если вы напишете бота, который взломает капчу и купит 100 билетов, то взлом будет нарушением закона.
                                              А где тут взлом? И что вообще юридически является взломом?
                                              Несанкционированного доступа к информации в рамках сайта с каптчей не было. Просто автоматизировали процесс покупки билетов, вот и всё.
                                              В случае с вероятным фишингом фейсбука — там другое дело.
                                              Но относительно сайта розыгрыша билетов я никакого взлома не вижу. Нарушение правил розыгрыша (более 2-х билетов по сути в одни руки) — это было, но никак не взлом.
                                        +12
                                        У нас в России это называется «инновационная деятельность».
                                          +3
                                          и нанотехнологии, ага
                                        +3
                                        >>что по некоторым событиям Wiseguy стал вообще
                                        а кто такой Высегуй?
                                          +3
                                          а за что минусы? в статье о высегуе не слова, и только прочитав оригинал можно понять, что висегуй тикетс… — это фирма по продаже билетов, которая взламывала капчу
                                          +8
                                          А что тут приступного? Объясните пожалуйста.
                                            +2
                                            +1 Объясните плиз. Ну спекуляция, ну нехорошо, но где состав подлого преступления? В чём мошенничество? За что судить?
                                              0
                                              За взлом ресурсов, за, скорее всего, фишинг.
                                                0
                                                По-моему вопрос всё ещё открыт.

                                                При чём здесь фишинг? На фейсбуке, они кажется, только тренировались. А судят за «нелегальную перепродажу билетов». Но в чём нелегальность перепродажи?
                                                  0
                                                  за перепродажу как раз не судят
                                              –1
                                              спекуляция же
                                                +1
                                                «Спекуляцией называются сделки купли-продажи, совершаемые с определенным родом товаров или ценных бумаг, в целях извлечения выгоды из различий между покупной и продажной ценой. Собственно говоря, всякая торговая сделка, каков бы не был ее объект, основана на том же стремлении получить барыш на разнице в цене, так как ни один торговец не покупает товара для собственной надобности…»

                                                википедия
                                                +1
                                                Они не поделились с кем надо. :)
                                                Вон в топ 1000 биржевых спекулянтов две трети ботов.
                                                И драки идут за установку серверов с ботом поближе к серверам биржи да с толстым прямым каналом.
                                                Однако ж они честные предприниматели.
                                                  0
                                                  взлом, мошенничество, сговор с целью совершения оных
                                                    0
                                                    Что они взломали? Кого обманули?
                                                      0
                                                      взломали — капчу и прочие средства защиты от ботов
                                                      обманули — вот тут я не очень понял, по-моему что-то насчет использования ложной информации при покупке серверов, айпишников, билетов итд
                                                        0
                                                        Ух ты, а пираты — воруют, да?
                                                          0
                                                          сомалийские? да, воруют-убивают
                                                          компьютерные? нет, они «нарушают копирайт»

                                                          а с чем именно вы не согласны?
                                                    0
                                                    Может нарушали условия договора при покупке билета. Возможно там было написано что перепродавать билеты запрещено.
                                                      +1
                                                      С каких пор нарушение правил сайта является нарушением закона?
                                                    +1
                                                    прилично заработали
                                                      +10
                                                      Чем так переводить статью, лучше вообще не переводить. Те кто заинтересован в информации а не в журналядстве, почитайте оригинал. Там все описано, и как фейсбук использовали и как они конкретно деньги зарабатвали. В переводе все не так.
                                                        +3
                                                        посмотрел автора поста: так и знал, опять alizar
                                                        уже не первый раз такие переводы ниачем
                                                        +1
                                                        Система обхода стоила несколько миллионов долларов? Они явно не знали о сервисе антикаптча :)
                                                          0
                                                          Масштабы и скорость видимо не та
                                                          +1
                                                          Интересно, в правилах пользования (terms of use) на «взломанных» сайтах было написано, что билеты нельзя покупать ботам? Если нет, то шанс на оправдательный приговор есть ;)
                                                          • UFO just landed and posted this here
                                                              –2
                                                              ну мало ли чего в terms of use написано.
                                                            0
                                                            а может вместо срока напишут капчу по безопаснее?!
                                                              +1
                                                              плохой замок не значит, что можно ломать и входить.
                                                                +1
                                                                именно так иногда подыскую самых классных профессионалов.
                                                              0
                                                              гениально!
                                                                +1
                                                                Вот это я понимаю, не мелочь по карманам тырить. А прикиньте, сколько подобного успешно функционирует и не высовывается.
                                                                  –1
                                                                  Все гениальное — не просто
                                                                    +2
                                                                    Если билеты на моё шоу (это к примеру, шоу у меня только по праздникам))) я бы предложил такой конторе перепродавать билеты более выгодно для себя. Это же сколько бы я сэкономил на рекламе и прочей фигне.
                                                                    Кассира уволил бы :)
                                                                      0
                                                                      Собственно а кому от этого хуже было? Организаторы в итоге получали деньги за проданные билеты, а покупатели, которые купили билет, пусть по более высокой цене, получили что хотели.
                                                                        0
                                                                        Они не смогли купить по обычной цене и их вынудили купить по более высокой. Некрасиво.
                                                                          0
                                                                          Ну что тут поделать, это бизнес.

                                                                          Есть 2 варианта
                                                                          1. Вылавливать момент и успеть урвать себе билет.
                                                                          2. Переплатить, но купить билет тогда, когда тебе удобно.

                                                                          Так что обмана тут не вижу.
                                                                      • UFO just landed and posted this here
                                                                          0
                                                                          тоже удивился… что вменяют собственно?
                                                                            0
                                                                            запрещено взламывать средства защиты
                                                                              +1
                                                                              Вот Фейман то удивился бы :)
                                                                              Ну и все математики в поиске варианта разложения произведения простых чисел на множители под статьей ходят.
                                                                                0
                                                                                … для незаконного доступа к информации с целью получения прибыли
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  вас моральная сторона интересует или юридическая?
                                                                              –3
                                                                              Страшные болгарские программисты!
                                                                                0
                                                                                А ReCaptcha втирает что у них уникальные вопросы…
                                                                                • UFO just landed and posted this here
                                                                                    0
                                                                                    я так понял, они перепродавали premium билеты, т.е. на лучшие места. Видимо, ловили момент, когда только начиналась продажа +обходили проверку на количество билетов в одни руки. Получается, страдают в основном те, кто мог честно приобрести билеты в «очереди» на сайте устроителей.

                                                                                    ps Wiseguy обычно переводится как «Умник» в негативном контесте, как назвали лодку, так и приплыли.
                                                                                      +1
                                                                                      /* Мошенникам удалось эффективно взломать систему reCAPTCHA при помощи перехвата пользователей, пытающихся логиниться на Facebook */

                                                                                      Вобщем никого они не перехватывали. Ботами выкачали всю базу рекапчи (сотни тысяч шт.) через фейсбук и, как я могу догадаться, неторопясь в оффлайне её распознавали.
                                                                                        –3
                                                                                        в любом случае респект парням
                                                                                          0
                                                                                          интересно, ЧЕМ пострадали сайты, продающие билеты?
                                                                                          они радоваться должны — у них эти «мошенники» скупали билеты тысячами за несколько минут
                                                                                          они свой профит поимели, не так ли? наверное, захотели еще, вот и пытаются прижучить гениев =)
                                                                                          только в случае, если цена билетов возрастала пропорционально уменьшению кол-ва билетов — тогда они еще в принципе имеют право говорить о том, что они понесли убытки

                                                                                          p.s. вот уж эти американцы =)
                                                                                            0
                                                                                            я правильно понимаю, что интересы людей-покупателей билетов вас не волнуют?
                                                                                              +2
                                                                                              я сам часто покупаю билеты
                                                                                              через ticketmaster, например
                                                                                              но иск идет не от покупателей билетов, а от компаний-продавцов
                                                                                              так что не нужно переводить тему
                                                                                              если вопрос стоит в престиже продавцов билетов перед покупателями (мол, «мы пришли купить на тикетмастер, а там уже все закончилось, so ticketmaster is shit) — это невозможно контролировать
                                                                                              да, почему не могут раскупить билеты быстро? на концерты многих исполнителей (например, на тот же U2) билеты разлетаются в первые дни продаж, кому надо — успевает купить
                                                                                              хотя в целом я с Вами согласен, сам не люблю перекупов
                                                                                                0
                                                                                                если с юридической точки зрения, то иск идет от соединенных штатов америки
                                                                                                а если с моральной, то, по-моему мнению, пострадали больше всех покупатели
                                                                                                  +1
                                                                                                  а где написано о том, что иск подал госаппарат (или что там) США?
                                                                                                  написано, что «Потерпевшая сторона — онлайновые сайты по продаже билетов», соотв. они и подали иск?
                                                                                                  пострадали покупатели, несомненно
                                                                                                  но они могли купить эти билеты у парней, почему нет?
                                                                                                  а парни просто ловили момент, делая деньги
                                                                                                    +1
                                                                                                    в обвинительном акте, на первой странице
                                                                                                    если вас ограбят, то пострадавшая стороны — вы, а обвинитель — государство, как ни странно

                                                                                                    передайте привет автору поста, скажите что google translate звонил, просил свой перевод обратно
                                                                                            0
                                                                                            Хм, а гугл войс сможет голосовую капчу распознать?
                                                                                              +1
                                                                                              Отлично, теперь бы за киберсквотеров принялись. Там вообще все явки известны.
                                                                                                0
                                                                                                Это к вопросам — нахрена эта капча нужна. Кто хочет найдет способ обойти. Хватит параноии. Эта капча только достает. Неужели не хватает примитивной. Задолбался я уже? за год на набор капчей уходит как минимум пару часов а то и больше (если минуту в день, то за год 365 минут = 6 часов!!! Вы об этом думали.

                                                                                                Мне например нравятся примитивные капчи которые можно откликать мышкой. Например на tab.net.ua

                                                                                                Хватит параноии.

                                                                                                  +1
                                                                                                  по такой логике и замки на дверях не нужны, остаточно защелки :)
                                                                                                  хотя да, капчи задолбали (особенно на некоторых сайтах, с названием из 9 букв, первая Х, последняя Р)
                                                                                                • UFO just landed and posted this here
                                                                                                    0
                                                                                                    читайте выше
                                                                                                    0
                                                                                                    Надо глобалистов наказывать. И велосипеды свои изобретать тоже надо, а то вот так понадеешься на чью-то сверхбезопасную систему и потом отгребаешь…
                                                                                                      0
                                                                                                      Есть куча сайтов, где платят за правильный ввод reCAPTCHA, путей на самом деле ного поиметь огромную базу.
                                                                                                      • UFO just landed and posted this here
                                                                                                          0
                                                                                                          Известно, что трём болгарским программистам платили от $1000 до $1500 в месяц.
                                                                                                          Возмутительно!
                                                                                                          Если они действительно написали быстрый и эффективный алгоритм по распознаванию рекаптчи, то они стоят явно дороже.
                                                                                                            0
                                                                                                            Красавцы ваще блин. Вот обладают люди.

                                                                                                            Only users with full accounts can post comments. Log in, please.