Aggiunta alla risposta di MainMa ...
Gli spammer inducono gli altri a fare il CAPTCHA per loro
Fondamentalmente, gli spammer creano un sito warez o un sito porno che sembra avere CAPTCHA su di esso, ma non è un vero CAPTCHA. Un bot estrae il CAPTCHA dal sito che desidera spam (o comunque da sfruttare), quindi lo visualizza sul sito warez o su un sito porno dove qualcuno lo completa per loro. Quindi il valore CAPTCHA viene passato di nuovo al loro bot ...
Un po 'di più sugli spammer
Io uso reCAPTCHA e ho scoperto che è praticamente inutile. Uso anche un filtro antispam personalizzato che cattura lo spam che ha superato reCAPTCHA e devo verificarlo ogni pochi giorni per i falsi positivi.
Anche il mio forum è interamente scritto e riceve pochissimo traffico. Non credo che qualcuno abbia codificato un attacco specifico al mio sito. Tuttavia, il mio filtro spam cattura messaggi di spam 2k al giorno! Nessuno è mai visualizzato sul sito. Gli spammer non traggono alcun beneficio dallo spamming, eppure lo fanno ancora.
Riesco a vedere i pattern nei tentativi di spamming perché registro tutto. Posso dirvi questo: mettendo da parte come superano il CAPTCHA, gli spammer usano chiaramente una tecnica a forza bruta che varia i campi che vengono compilati e il tipo di dati e mix di parole che popolano quei campi. Apparentemente lo fanno in modo così economico (compreso il bypass del CAPTCHA) che non paga nemmeno per fare un'analisi dei singoli siti per vedere se quello che stanno facendo è o non funziona.
Anno dopo anno, continuano a bersagliare il mio sito con migliaia di messaggi di spam al giorno solo per ottenerne uno ogni mese, e questo viene eliminato manualmente il giorno successivo. È così economico per lo spam!
Questa sarà una battaglia per gli anni a venire. In particolare per i siti di moderatori one-man come i miei.
EDIT 22/06/2017 :
Voglio aggiungere che da questo post google ha completamente rinnovato reCAPTCHA e al momento della stesura di questo articolo ha funzionato perfettamente. Anche se ho il sospetto che ci siano un po 'di falsi positivi o che sia un problema per gli utenti in quanto i post sono diminuiti un po' da quando l'ho implementato. I 2 grandi cambiamenti sono
1) Utilizzano le immagini anziché il testo (quindi non più l'OCR)
2) Lo stanno combinando con l'attività degli utenti su tutto il sito che utilizza reCAPTCHA. Quindi se superi il reCAPTCHA sul sito A, poi vai al sito B, potrebbe non essere nemmeno pronto a dimostrare che sei umano! Inoltre (penso) se stai colpendo troppi reCAPTCHA su troppi siti, ti segnalerà anche. Sono sicuro che sta usando altri tipi di intelligenza artificiale in base all'attività degli utenti.
Sono sicuro che è solo una questione di tempo prima che gli spammer battano anche questo ...