Ajout à la réponse de MainMa ...
Les spammeurs incitent les autres à faire le CAPTCHA pour eux
Fondamentalement, les spammeurs ont créé un site warez ou un site porno qui semble contenir un CAPTCHA, mais ce n’est pas un véritable CAPTCHA. Un bot extrait le CAPTCHA du site qu’il souhaite spammer (ou exploiter autrement), puis l’affiche sur le site warez ou sur un site pornographique où quelqu'un le complète pour lui. Ensuite, la valeur CAPTCHA est renvoyée à leur bot ...
Un peu plus sur les spammeurs
J'utilise reCAPTCHA et j'ai trouvé que cela ne valait rien. J'utilise également un filtre anti-spam personnalisé qui capture le spam qui a dépassé reCAPTCHA et je dois le vérifier tous les deux ou trois jours pour y détecter les faux positifs.
Mon forum est également entièrement personnalisé et génère très peu de trafic. Je ne crois pas que quiconque ait codé une attaque spécifique sur mon site. Malgré tout, mon filtre anti-spam intercepte 2k messages par jour! Aucun n'est jamais affiché sur le site. Les spammeurs ne tirent aucun avantage de l'envoi de spams, mais ils le font toujours.
Je peux voir des tendances dans les tentatives de spam parce que je les enregistre tous. Je peux vous dire ceci: mis à part comment ils parviennent à se défaire de la CAPTCHA, les spammeurs utilisent clairement une technique de force brute faisant varier les champs renseignés ainsi que le type de mélange de données et de mots qui les remplit. Apparemment, ils le font à si bon marché (y compris en contournant la CAPTCHA) au point qu’il n’est même pas rentable d’analyser les sites individuels pour voir si ce qu’ils font fonctionne ou non.
Année après année, ils continuent de cibler mon site avec des milliers de pourriels par jour pour en recevoir un par mois, et celui-ci est supprimé manuellement un jour plus tard. C'est si bon marché de faire du spam!
Cela va être une bataille pour les années à venir. Particulièrement pour les petits sites modérateurs individuels comme le mien.
EDIT 22/06/2017 : Je tiens à ajouter que, depuis cette publication, reCAPTCHA a été complètement remodelé et que, depuis la rédaction de cet article, il fonctionne parfaitement. Bien que je soupçonne qu’il ya un peu de faux positifs ou que c’est un problème pour les utilisateurs, les publications ont un peu chuté depuis que je l’ai implémenté. Les 2 grands changements sont
1) Ils utilisent des images au lieu de texte (donc plus d'OCR)
2) Ils le combinent avec l'activité des utilisateurs sur tous les sites utilisant reCAPTCHA. Donc, si vous avez dépassé le reCAPTCHA sur le site A, accédez au site B, il ne vous demandera peut-être même pas de prouver que vous êtes humain! Aussi (je pense) si vous frappez trop de reCAPTCHAs sur trop de sites, cela vous signalera également. Je suis sûr qu'il utilise d'autres types d'intelligence artificielle en fonction de l'activité des utilisateurs.
Je suis sûr que c'est juste une question de temps avant que les spammeurs battent ça aussi ...