Ihr kennt das. Da sitzt man am Freitag Abend vor dem Rechner und hat keinerlei Absicht, Umfragen zu manipulieren. Und dann wird einem so etwas mit der Frage "kannst du das hacken?" zugeschickt:
"Kannst du das hacken?"
Hacken ist da vielleicht ein grosses Wort - beginnen wir einmal mit manipulieren. Prinzipiell halte ich Captchas ja für eine super Möglichkeit, Bots von den eigenen Webseiten fern zu halten.
Das Prinzip dahinter ist: Es wird auf Basis von Verhalten oder einer Aufgabe festgestellt, ob du ein Mensch bist. Du weisst das natürlich – die Webseite aber noch nicht.
Nur, wie jeder bezeugen kann, der eine Webseite betreibt, irgendwie gibt's einen Weg drumherum. Und wenn er manuell ist.
Aber der Detektivmodus ist aktiviert. Wie leicht ist es tatsächlich, so ein Captcha zu umgehen? Am Besten natürlich automatisiert, alles darunter ist es nicht wert zu versuchen.
Auf Anhieb fallen mir ein paar Möglichkeiten ein:
- Eine AI trainieren, die Captchas lösen kann: Das ist mir viel zu umständlich. Nicht nur bräuchte ich ein riesiges Trainings-Set an Captchas und deren Lösungen, auch kenne ich mich auf dem Gebiet einfach nicht aus.
- Browser-Plugins: Eventuell gibt es Browser-Erweiterungen, die das für mich machen? Auch diesen Weg habe ich nicht weiter verfolgt, denn mir kam folgende Idee:
Ich google das mal.
Natürlich gibt es ein Captcha-Lösungs Tool
Aber wie das gelöst ist, hat mich dann doch tiefer in den Kaninchenbau geschickt, als ich das eigentlich vor hatte. Eines der ersten Google-Ergebnisse ist nämlich anti-captcha[.]com.
Ich sehe mir die Webseite an:
Wow. Erstens: geile Webseite. Zweitens: Die haben das zu einem Software-as-a-Service Produkt gemacht. Bin begeistert.
Das Ganze funktioniert so:
- Ich lade ein Captcha zum Dienst hoch
- Ein Mensch löst das Captcha
- Ich kriege das Ergebnis zurück.
Ein Mensch sitzt dahinter!?
Da wurde ich stutzig. Laut der Plattform verdient so ein Captcha-Löser 100 Dollar pro Monat. Nicht viel – außer man sitzt in einem Niedriglohnland. Was hier anscheinend genau der Fall ist. Es gibt einen eigenen Link, unter dem man sich die Geschichten der Personen ansehen kann, die meine Umfragemanipulationen mit ihrer kognitiven Leistung unterstützen. Die Liste ist sehr lang – hier nur ein Auszug:
Zu jeder dieser Personen gibt es:
- Eine Geschichte
- Fotos
Ich habe mir in meinem Twitch-Stream bereits angesehen, ob diese Geschichten Fake sind – anscheinend nicht. Ich habe hunderte heruntergeladen, und ich konnte keine Anzeichen finden, dass die irgendwie generiert wären.
Aber viel – mir fehlt das Adjektiv hier – finde ich die Fotos. Da ist es anscheinend Vorgabe, ein Foto von sich selbst, seinem Rechner, seinem Essen und seiner Wohnung zu machen. Anders kann ich mir nicht erklären, dass Alexandra aus der Ukraine und Sivanath aus Indien die gleichen Dinge fotografieren.
An diesem Punkt muss ich sagen: Ein ziemlich komisches Gefühl macht sich in mir breit. Ich klicke mich hier durch Fotos, die für meine Verhältnisse schon sehr weit in der Privatsphäre sind (Die Fotos von Alexandra und ihrem Freund oder Sivanath mit seiner Mutter lasse ich in diesem Blogartikel aus). Als wären die Fotos ein Fenster in das Leben von Personen, denen es weit nicht so gut geht wie mir.
Personen, die ich ausnutze, um eine fucking Polit-Umfrage auf weekend[.]at zu manipulieren?
Vor allem, wenn auf der Webseite noch damit geprahlt wird, dass "Cheater" schnell "eliminiert" werden – inklusive einem Button, wo ich das selber ausprobieren kann:
Tief im Kaninchenbau
Okay. Nach dem Ausflug in das Leben diverser Captcha-Löser:innen sehe ich mir die Plattform selbst an. Ich lade 10 Euro auf mein Konto, und probiere einmal. Und ich bin begeistert. Zu meinem komischen Gefühl von vorher kommt eine Faszination von technischer Ebene hinzu:
Es gibt hier eine Schnittstelle, wo ich einfach meine Captchas hochladen kann – ohne einen einzigen Klick zu tun – und die mir dann das Ergebnis zurückliefert!
Das sind die einzigen Codezeilen, die es braucht:
client = AntiCaptcha.new('API_KEY')
options = {
website_key: site_key,
website_url: URL,
}
solution = client.decode_nocaptcha!(options)
captcha_response = solution.g_recaptcha_response
Ich programmiere ein wenig an meinem Umfragemanipulationstool und schaffe es innerhalb kürzester Zeit, aus der Umfrage oben das Captcha zu extrahieren, und in die Plattform zu senden. Es erscheint sogar in Echtzeit in meinem Dashboard!
Zurück kommt ein Code, mit dem ich dann die Umfrage tatsächlich abschicken kann.
Das Ergebnis ist ein Skript mit 67 Zeilen, mit dem ich jede Umfrage auf weekend[.]at manipulieren kann. So sieht das dann aus:
Aber es geht noch besser: Was, wenn man gerade keinen Martin Haunschmid zur Verfügung hat, der sich so etwas um 21 Uhr abends ansieht, weil er einfach nicht anders kann?
Muss man da nicht programmieren können?
Prinzipiell ja. Aber zum Glück hat die Plattform auch hier eine Lösung parat: Es gibt dort einen eigenen Marktplatz, wo man als angehender Umfragemanipulator seine Projekte einstellen kann:
Auf der anderen Seite dann die professionellen Black Hat Marketing Programmierer:
Fazit
Diese Geschichte hat einen ganz komischen Beigeschmack. Ich habe in 1,5 Stunden geschafft, ein Captcha zu umgehen, und kann damit (theoretisch) jede Online-Umfrage, die nicht an einen Account geknüpft ist, beliebig manipulieren. Gekostet haben mich die 12 Captcha-Lösungen 2 Cent.
0,02 Euro.
Dafür, dass irgendjemand im globalen Süden meine Captchas löst.
Ich denke nach über die hunderttausenden Personen, die Facebook moderieren (oder es zumindest versuchen), die als Virtual Private Assistant ihr Glück versuchen (da muss man aber schon Englisch können), oder stundenlang einen Task durchführen, bei dem ich selbst schon aggressiv werde, wenn ich einmal eine DIESER SCHEISS AMPELN übersehen habe.
Alles, damit Horden von Spammern die Captchas meiner Kontaktformulare umgehen können. Und ich aus Spass an einem Freitag Abend die Umfragen von weekend[.]at manipuliere.
Wobei: Manipuliert habe ich dann nichts. Mir ging es nur um die Frage, ob ich es kann. Ja, sehr leicht sogar.