Quebra de captcha por robôs: uma dor de cabeça aos órgãos públicos

Rodrigo Artus

Analista e Consultor de Negócios da Migrate. Graduado em Análise e Desenvolvimento de Sistemas, é responsável pela evolução dos produtos InvoiCy e estreitamento do relacionamento com Parceiros!

4 Comments

Dentro da internet existem aplicações automatizadas que, se não tivessem suas atividades constantemente bloqueadas, haveria bastante transtorno aos usuários da rede. Estes são os robôs, também conhecidos por bots. Eles são responsáveis, por exemplo, pelo envio de spam e phishing via e-mail.

Felizmente, no entanto, existe uma outra aplicação, que é responsável por coibir esse tipo de ação, no intuito de reforçar a segurança de quem usa os serviços web. Neste post, explicaremos o que significa captcha e como ele é usado. Por fim, apresentaremos as suas variações, como o recaptcha e o invisible captcha.

Ficou interessado em compreender a ideia por trás do captcha? Então continue a leitura do nosso post e fique por dentro!

O que significa captcha?

Este é um acrônimo em inglês que significa Completely Automated Public Turing test to tell Computers and Humans Apart. Baseado no teste feito por Alan Turing em 1950, tem por objetivo verificar a capacidade de uma máquina em reproduzir as respostas dadas pelos seres humanos. Dessa forma, a atividade humana e de robôs na rede pode ser mais facilmente identificada, evitando spams e outros transtornos aos usuários.

Quais as aplicações do captcha?

O captcha surgiu em meados dos anos 90 e, atualmente, é utilizado largamente na proteção de acesso a diversos tipos de serviços na Internet. Quem nunca se deparou com aquele emaranhado de letras ou imagens, que precisam ser decifrados para que você consiga acessar um determinado sistema na web?

Os captchas têm a intenção de serem enigmas fáceis de se resolver por humanos, mas, por outro lado, difíceis de serem quebrados e decifrados por computadores. Vários sistemas de empresas privadas e governamentais utilizam o captcha como um mecanismo de autenticação, no intuito de evitar que robôs façam ações delituosas, como o sequestro de dados.

Quais imagens podem aparecer em um captcha?

A forma mais comum e, ao mesmo tempo, mais ineficiente, é a de códigos alfa numéricos. Além de serem incômodos para os usuários, não são seguros o suficiente. Com o tempo, surgiu também o captcha em áudio, para facilitar a vida de deficientes visuais e pessoas com daltonismo.

Ao longo dos anos, os bots ficaram inteligentes o suficiente para burlar códigos alfanuméricos e adentrar nas mais variadas aplicações web. Acompanhe, nos subtópicos a seguir, duas maneiras mais eficientes de prover esse mecanismo de autenticação na internet: o recaptcha e o invisible captcha.

Recaptcha

Este mecanismo foi desenvolvido como uma ferramenta auxiliar na digitalização de livros e documentos. Quando um site com recaptcha identifica partes de um texto que não foram lidas corretamente pelo OCR (software de digitalização por meio do reconhecimento de imagens), ele envia para usuários da rede essas partes no formato recaptcha, de modo a ser decifrado por um humano.

Invisible captcha

O invisible captcha representa uma grande comodidade para quem utiliza os serviços web, visto que elimina os indesejáveis códigos alfanuméricos. A validação ocorre por meio de um único clique em um botão como “enviar” ou “submeter”. Depois disso, todo o processo de autenticação é feito, levando em conta fatores como o histórico de navegação de um usuário na internet, além de outras atividades dele na rede.

Como é o uso do captcha pela SEFAZ?

Atualmente, o captcha é um recurso utilizado pela SEFAZ e grande parte das prefeituras em seus serviços de consulta online em portais. O intuito é inibir o acesso das informações disponíveis nestas consultas por aplicativos robotizados, o que culmina em uma sobrecarga dos serviços.

Muitas empresas têm utilizado esta técnica para obterem vantagens e informações privilegiadas, que só estariam disponíveis para acesso individual, único e exclusivamente via portal web do órgão público. Um exemplo é a consulta de notas fiscais eletrônicas, em que pode ser observado o captcha na tela de consulta por chave de acesso.

Caso o aplicativo consiga efetuar a quebra desse captcha, terá acesso a praticamente todas as informações da nota fiscal. Imagine agora, que isso poderia ser efetuado para centenas, milhares ou até milhões de documentos fiscais de forma automatizada, sem intervenção humana.

Tecnicamente, parece algo muito legal, pois facilita a busca de informações importantes para as empresas. Porém, esta prática pode acarretar em diversos problemas de infraestrutura dos órgãos públicos, desde lentidão dos sistemas, até mesmo situações mais extremas como a queda total do serviço, afetando assim milhões de empresas emissoras de documentos fiscais.

Como funciona

Para download do XML completo da NF-e de entrada, é obrigatória a manifestação do destinatário, dando ao menos a ciência da operação. Inicialmente, a SEFAZ libera apenas um resumo de cada documento emitido. Após efetuar a ciência ou confirmação da operação por meio do processo de manifestação, o documento completo é disponibilizado pela SEFAZ.

Com o InvoiCy, a listagem de resumo das notas fiscais e a ciência de operação podem ser automatizadas para que o download do documento completo ocorra de forma automática. Porém, após a ciência efetuada, é imprescindível que a empresa efetue ainda a confirmação da operação, respeitando o prazo legal para este fim.

Fique ligado

Se um serviço fornecer a baixa de notas fiscais eletrônicas completas e sem a necessidade de manifestação do destinatário, é possível que isso seja feito por meio da quebra de captcha. Tal procedimento referente à busca de dados é considerado irregular

Representantes das SEFAZ de diversos estados já se posicionaram a respeito deste tipo de operação, deixando claro o combate a esses procedimentos que culminam na sobrecarga dos serviços. Atualmente, medidas começaram a ser tomadas para dificultar o acesso à informação por aplicativos robôs, quando, além do captcha, existirão mecanismos que dificultam a leitura automatizada das informações após a consulta.

Vale ressaltar que a Migrate não adota esse tipo de aplicativo robô para busca de informações. Todos os nossos serviços de consulta de dados, sejam de notas emitidas ou recebidas, são efetuadas por meio dos Web Services e serviços específicos para esse fim, disponibilizados pela SEFAZ e/ou prefeituras.

O entendimento sobre o que significa captcha é de grande importância, visto que ele representa uma segurança aos usuários, apesar de muitas vezes apresentar códigos alfanuméricos de autenticação. Existem muitos robôs (ou bots) na internet que são responsáveis por ações delituosas como o sequestro de dados corporativos. Logo, é preciso que existam mecanismos responsáveis por coibir a incidência desse tipo de aplicação.

Conheça a Plataforma InvoiCy!

Mantenha foco no seu negócio! Nós cuidamos da gestão fiscal para você! Entre em contato com nossos consultores online, e solicite uma apresentação da Plataforma InvoiCy agora mesmo.

Powered by Rock Convert
Powered by Rock Convert

Rodrigo Artus

Analista e Consultor de Negócios da Migrate. Graduado em Análise e Desenvolvimento de Sistemas, é responsável pela evolução dos produtos InvoiCy e estreitamento do relacionamento com Parceiros!

About the Author

Rodrigo Artus

Rodrigo Artus

Analista e Consultor de Negócios da Migrate. Graduado em Análise e Desenvolvimento de Sistemas, é responsável pela evolução dos produtos InvoiCy e estreitamento do relacionamento com Parceiros!

4 Comments

  1. Está prática compromete até quem trabalha de forma correta, pois nos questionam “Mas como que tal sistema faz e o de vocês não consegue?”

    • Olá Alex, tudo bem?

      Como explicamos no artigo, não fizemos porque entendemos ser uma prática danosa e de certa forma ilegal, sendo um processo frágil e passível de bloqueio a qualquer momento pelo Fisco.

      Espero ter ajudado.
      Um abraço!

    • Ola Wellington, tudo bem?

      Sobre a baixa da NFC-e emitida contra o CNPJ do destinatário, ainda não temos nenhum processo que faça esta baixa automática. Pois, como a NFC-e é um documento que não gera créditos de ICMS e é utilizado para venda ao consumidor final, a SEFAZ não disponibilizou nenhum Webservice ou serviço, que permita esta baixa automática de NFC-e emitida contra o CNPJ.

      Permaneço à disposição.
      Um abraço!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *