Como identificar diferentes tipos de CAPTCHAs
O que é CAPTCHA
CAPTCHA (ingl. CAPTCHA) – uma tecnologia projetada para garantir a segurança em sites. Ela protege os sites contra spam, roubo de dados, ataques DDoS e outras ações automatizadas maliciosas.
As CAPTCHAs estão em constante atualização e evolução, dificultando cada vez mais o trabalho de scripts que podem ser potencialmente perigosos. Para verificar os visitantes de um site e determinar se são humanos reais ou robôs, os desenvolvedores criam diferentes métodos de verificação e sistemas completos para proteção de dados. Os usuários podem ser solicitados a digitar texto, selecionar imagens, resolver um quebra-cabeça ou reconhecer um áudio distorcido. As tecnologias modernas também buscam cada vez mais minimizar o desconforto para usuários reais, permitindo a verificação em segundo plano sem exigir ações e ativando-a apenas em caso de suspeita de automação.
Este artigo ajudará você a identificar o tipo de proteção em um site e a entender os mecanismos gerais de seu funcionamento por meio da análise de elementos específicos no código HTML.
Como as CAPTCHAs funcionam em geral
CAPTCHA é uma forma eficaz de manter a segurança em sites. As etapas gerais de funcionamento dos sistemas de proteção em sites são as seguintes:
A CAPTCHA gera uma tarefa que precisa ser resolvida. Pode ser um texto distorcido, um conjunto de imagens, áudio ou um elemento interativo como um slider. Para dificultar a tarefa para bots, o texto pode ser distorcido e o áudio pode conter ruído.
A CAPTCHA é adicionada à página da web como um elemento visível, por exemplo, um campo de texto, imagem ou slider. Em alguns casos, como no Google reCAPTCHA, scripts são carregados de servidores para exibição em tempo real.
O usuário interage com a CAPTCHA — digita texto, seleciona imagens ou move um slider. Quando a tarefa é concluída, a resposta é enviada ao servidor para verificação.
O servidor verifica a resposta e se a interação atende aos requisitos. CAPTCHAs modernas também analisam o comportamento do usuário: frequência de requisições, uso de JavaScript, movimentos do mouse e entrada de texto.
Resultado da verificação:
Sucesso: se a resposta estiver correta ou o comportamento parecer natural, o acesso é concedido.
Falha: se a resposta estiver incorreta ou o comportamento parecer suspeito, a CAPTCHA pode solicitar uma nova tentativa ou bloquear o acesso.
Métodos de verificação de sistemas de proteção
Os desenvolvedores de bots não ficam parados, e CAPTCHAs simples em texto já não são sempre capazes de distinguir com eficiência usuários reais de sistemas automatizados. Ao mesmo tempo, as tecnologias modernas também estão em constante evolução, oferecendo métodos de proteção cada vez mais complexos e combinados para sites. Vamos dar uma olhada nesses métodos:
1. Análise de requisições e respostas HTTP
São analisados cabeçalhos de requisição e resposta – User-Agent, Referer, Accept-Language e Cookies. A ausência de valores padrão pode indicar automação.
Parâmetros em URLs e requisições POST são verificados quanto a valores suspeitos ou fora do padrão.
A frequência de requisições a partir de um único endereço IP é medida. Frequência muito alta pode indicar atividade de bot.
A presença e validade de cookies usados para identificação de sessão e prevenção de ataques de repetição são verificadas.
2. Análise TCP/IP
São analisadas características de estabelecimento e encerramento de sessões TCP – tempo de conexão, frequência de requisições e latência. Bots podem apresentar comportamento incomum em comparação a usuários reais.
São verificados padrões de transmissão de pacotes, repetições ou atrasos incomuns que podem indicar automação.
3. Análise de sessões TLS
Certificados são verificados para identificar certificados suspeitos ou falsificados. Valores incomuns em certificados podem indicar tentativa de contornar proteção.
O uso de criptografia e a correção do processo de descriptografia de dados são avaliados (bots podem ter dificuldades com criptografia).
4. Fingerprint (impressão digital do dispositivo)
Perfilamento do navegador – são coletados dados como versão do navegador, plugins, fontes e configurações de JavaScript. Isso ajuda a distinguir usuários reais de bots.
Características do dispositivo são analisadas – resolução de tela, configurações do sistema operacional e tipo de dispositivo. Bots frequentemente usam ambientes virtuais ou incomuns.
O comportamento do usuário é analisado – movimento do mouse, velocidade de digitação e frequência de interação.
Como identificar o nome e o tipo de qualquer CAPTCHA
Ao visitar determinados sites, os usuários frequentemente encontram CAPTCHAs, mas nem sempre sabem qual é o tipo ou como ele se chama. Para identificar o tipo, use as Ferramentas do desenvolvedor (DevTools) e siga estes passos simples:
Abra as DevTools: pressione Ctrl+Shift+I (ou Cmd+Option+I no Mac), ou clique com o botão direito na página e selecione “Inspecionar”.
Vá para a aba Elements: aqui você vê a estrutura HTML da página e pode localizar o CAPTCHA.
Encontre o elemento do CAPTCHA: use a ferramenta de seleção (seta no canto superior do DevTools) e clique no CAPTCHA na página.
Analise HTML e atributos: verifique classes e IDs (por exemplo, class="g-recaptcha").
Abra a aba Network e atualize a página para ver requisições relacionadas ao CAPTCHA.
Verifique também as abas Sources e Network para scripts de inicialização do CAPTCHA.
Sinta-se à vontade para usar esta ferramenta útil! Experimente diferentes elementos e você não apenas entenderá qual CAPTCHA está sendo usado, mas também terá uma visão mais profunda de como outros elementos interessantes relacionados a CAPTCHA funcionam.
Quais tipos de CAPTCHAs e outras verificações são suportados pelo CapMonster Cloud e como identificá-los
Para pessoas, resolver um CAPTCHA geralmente não é difícil, mas para bots isso se torna uma barreira séria. Embora muitos sistemas automatizados sejam usados não para fins maliciosos, mas para testes de sites, scraping seguro e automação de tarefas rotineiras, os mecanismos de proteção ainda podem atrasar e complicar o trabalho. O processamento dessas verificações exige esforço significativo e tempo para adaptação do código. O serviço CapMonster Cloud simplifica bastante esse processo, oferecendo soluções para a maioria dos tipos populares de verificações:
reCAPTCHA v2, v3, reCAPTCHA invisível, reCAPTCHA Enterprise (v2 e v3)
Para enviar uma tarefa de resolução de CAPTCHA ao servidor do CapMonster Cloud, é importante conhecer o seu tipo e versão exata.
Vamos analisar cada tipo de CAPTCHA com mais detalhes, suas características e como encontrar seus dados de identificação, para que durante o trabalho com sites você consiga identificar qualquer CAPTCHA e resolvê-lo com sucesso usando o CapMonster Cloud:
reCAPTCHA
reCAPTCHA é desenvolvida pela Google. Esta tecnologia usa uma combinação de métodos de análise do histórico do navegador, comportamento do usuário, endereço IP e outros indicadores para distinguir humanos de bots. Se o reCAPTCHA detectar algo suspeito, o usuário pode ser solicitado a realizar um teste para confirmar sua "humanidade". As versões modernas do reCAPTCHA incluem principalmente:
reCAPTCHA v2: neste caso, o usuário precisa marcar a caixa "Eu não sou um robô" ou resolver um desafio, como selecionar todas as imagens com um determinado objeto (motos, carros, semáforos etc.). Como alternativa, pode ser oferecida uma captcha de áudio.
reCAPTCHA v3: esta versão não requer interação do usuário. Ela analisa o comportamento do usuário na página e atribui uma pontuação – score (1,0 – provavelmente humano, 0,0 – provavelmente bot). Em caso de baixa pontuação, podem ser acionadas verificações adicionais.
Invisible reCAPTCHA: pertence ao v2, mas sem caixa visível. Assim como o v3, funciona em segundo plano e só exige interação do usuário em caso de comportamento suspeito. Visualmente não difere do reCAPTCHA v3.
reCAPTCHA Enterprise: versão mais avançada para proteção de sites.
Como distinguir reCAPTCHA v2 Invisible de reCAPTCHA v3 e reCAPTCHA Enterprise?
A reCAPTCHA v2 visível pode ser identificada pelo checkbox e pelos desafios. As versões invisíveis podem ser identificadas pelos seguintes critérios
reCAPTCHA v2 Invisible possui elementos com os atributos data-sitekey e data-callback:
reCAPTCHA v3 — na aba Rede é possível ver uma requisição com a palavra-chave “render”:
reCAPTCHA Enterprise (v2 e v3) é identificado pela palavra “enterprise” nas requisições:
GeeTest
O GeeTest oferece quebra-cabeças interativos, como a seleção de alguns objetos em uma determinada ordem, a resolução de um puzzle com o movimento de um controle deslizante ou simplesmente clicar em um ponto específico. O GeeTest utiliza tecnologias adaptativas para minimizar o impacto sobre usuários reais, ao mesmo tempo em que aumenta a dificuldade para sistemas automatizados.
Este tipo de CAPTCHA está disponível em duas versões: v3 e v4 (Adaptive CAPTCHA). A quarta versão se destaca por sua maior flexibilidade — ela ajusta automaticamente o nível de dificuldade. Para usuários reais, o CAPTCHA permanece simples e fácil de resolver, mas se o sistema suspeitar de automação, o nível de dificuldade aumenta. Assim como em muitos outros tipos de CAPTCHA, também existe um modo de áudio como alternativa de resolução.
GeeTest v3
Esta versão suporta vários modos de CAPTCHA: Intelligent mode, Slide CAPTCHA, Icon CAPTCHA e Space CAPTCHA. Abaixo estão exemplos de interfaces de diferentes tipos de desafios:
Slide CAPTCHA
Icon CAPTCHA
Intelligent mode
GeeTest v4
Assim como a versão 3, também possui vários modos principais de verificação: Slide CAPTCHA, Icon CAPTCHA, IconCrush CAPTCHA, Image CAPTCHA, Gobang CAPTCHA, NoCAPTCHA . Abaixo estão exemplos de interfaces de diferentes tipos de desafios:
Slide CAPTCHA
Icon CAPTCHA
NoCAPTCHA
O modo mais simples para o usuário: basta clicar no botão “Click to verify”. Se a verificação em segundo plano confirmar que a ação é realizada por um humano, será exibida a mensagem “Verification Success”.
Diferenças entre GeeTest v3 e v4
É possível diferenciar as versões do GeeTest usando as Ferramentas do Desenvolvedor (DevTools) pela estrutura das requisições, parâmetros utilizados e scripts carregados.
GeeTest v3
Utiliza dois principais parâmetros de inicialização: gt (ID do GeeTest) e challenge (identificador único da sessão).
O script da CAPTCHA geralmente é carregado a partir de URLs contendo o caminho /gt.js.
Envia requisições ao servidor com os caminhos /validate.php ou /get.php.
GeeTest v4
Scripts e requisições da versão 4 frequentemente contêm o caminho ou referência v4.
Em vez do parâmetro gt, é utilizado captcha_id.
Os parâmetros geralmente podem ser encontrados nas requisições de rede ou na configuração de inicialização da CAPTCHA.
Cloudflare Turnstile e Challenge
A Cloudflare oferece mecanismos modernos de verificação de usuários sem CAPTCHA clássica com imagens. A verificação pode ser realizada ao clicar no botão “Verify you are human” ou totalmente em segundo plano — com base em parâmetros do navegador, comportamento do usuário e sinais de rede. Se a verificação for bem-sucedida, o acesso ao site é permitido; caso contrário, a requisição pode ser limitada ou bloqueada.
Os principais mecanismos de verificação da Cloudflare são: Turnstile e Challenge Page.
Turnstile
Turnstile é um widget de verificação de usuário incorporado ao site. Dependendo das configurações do site e do nível de confiança da requisição, a Cloudflare pode usar diferentes modos de verificação:
Verificação não interativa — executada totalmente de forma automática, sem ação do usuário.
Verificação interativa não invasiva — em caso de atividade suspeita, pode exigir interação mínima.
Verificação invisível — executada em segundo plano sem exibir elementos de interface.
Verificação não interativa
Verificação interativa não invasiva
Challenge Page
Diferente do Turnstile, o mecanismo Challenge Page abre uma página de verificação separada antes de conceder acesso ao site de destino. O usuário pode precisar aguardar a conclusão da verificação automática, esperar alguns segundos ou confirmar a ação clicando no botão “Verify you are human”.
Esse mecanismo é considerado mais intrusivo, pois restringe temporariamente o acesso ao site até que a verificação seja concluída.
Principais tipos de verificação da Challenge Page:
Managed Challenge — a Cloudflare escolhe automaticamente o método de verificação ideal.
JS Challenge — executado automaticamente via JavaScript.
Verificação interativa — requer interação com elementos da página de verificação.
Exemplo de página separada de verificação Cloudflare Challenge
Ao analisar via DevTools, a presença da Challenge Page pode ser identificada frequentemente pelo fato de que a primeira requisição ao site retorna o status HTTP 403, após o qual o usuário é redirecionado para a página de verificação.
HTTP 403 e redirecionamento para Cloudflare Challenge
CAPTCHA de texto (ImageToText)
Este é um tipo de CAPTCHA que, durante a verificação, solicita que o usuário reconheça e insira o texto exibido na imagem. Ele pode consistir em letras, números, palavras ou caracteres especiais. Antigamente, era um dos métodos mais populares de proteção contra bots, mas hoje é cada vez menos utilizado, sendo substituído por soluções mais modernas.
A presença de CAPTCHA ImageToText pode ser identificada pelos seguintes sinais:
Presença de uma imagem com texto de CAPTCHA
Campo para inserção do texto reconhecido
Uso das tags <img> e <input type="text">
Para encontrar o elemento <img> que carrega a imagem do CAPTCHA, você pode usar JavaScript no console:
document.querySelector('img[src*="captcha"]'); DataDome
Assim como outros sistemas avançados semelhantes, o DataDome utiliza métodos server-side e client-side para detectar bots, analisando o comportamento dos usuários, sua geolocalização, dados de rede, fingerprints de navegador e outros parâmetros por meio de algoritmos multicamadas de machine learning. O DataDome é capaz até de identificar navegadores automatizados (Selenium, Puppeteer, Playwright), além de poder utilizar ofuscação de JavaScript para dificultar a análise do seu código.
O DataDome oferece um método de verificação por slider
A presença da proteção DataDome em um site pode ser identificada pelo carregamento de um arquivo JavaScript do DataDome:
O DataDome contém cookies específicos (que podem ser obtidos na página com "document.cookie" ou no cabeçalho da resposta Set-Cookie: "datadome=..."), por exemplo:
"datadomeCookie": "datadome=VYUWrgJ9ap4zmXq8Mgbp...64emvUPeON45z"Captcha da Tencent (TenDI)
A TenDI Captcha também utiliza métodos avançados e complexos de verificação de usuários, incluindo análise de trajetória, identificação de características e outros mecanismos de segurança. Um usuário real pode nem perceber a presença da verificação no site-alvo, mas se o sistema suspeitar de automação, a captcha pode ser acionada.
A captcha da Tencent fornece vários tipos de verificação:
Captcha de slider
Captcha gráfica
Captcha contínua
Também está disponível a verificação por áudio, na qual o usuário precisa digitar o texto ouvido no trecho de áudio. Além disso, é aplicada a verificação inteligente — um mecanismo de IA que analisa o comportamento do usuário e só inicia a verificação em caso de atividade suspeita.
A presença da verificação Tencent em um site pode ser identificada, por exemplo, pelo script carregado TCaptcha:
Nas requisições é utilizada a URL – https://ca.turing.captcha.qcloud.com
Amazon CAPTCHA e Challenge
CAPTCHA e Challenge do AWS WAF (serviço web da Amazon) são dois mecanismos de verificação de usuários para proteção de sites. Veja como eles diferem:
CAPTCHA solicita que o usuário resolva tarefas, como inserção de texto (usado com menos frequência), movimentação de slider, seleção de objetos em uma imagem ou escutar e digitar palavras de um áudio.
Challenge funciona em segundo plano, analisando parâmetros de sessão e comportamento das requisições (frequência de requests, JS, comportamento do mouse, cookies). Se a verificação for bem-sucedida, o usuário continua navegando; caso contrário, pode ser exibida uma CAPTCHA ou ocorrer bloqueio.
A CAPTCHA pode aparecer assim:
Seleção de objetos na imagem
Slider
Seleção/movimentação de objetos
CAPTCHA de áudio
No código da CAPTCHA existe o script window.gokuProps, além de referências a challenge.js e captcha.js:
Conclusão
Assim, analisamos os principais tipos populares de CAPTCHAs, seu funcionamento geral e formas de identificação. Claro, ainda existem muitos outros tipos semelhantes de CAPTCHAs, mas, com base nas informações deste artigo, você conseguirá facilmente identificar o tipo e continuar trabalhando com eles. Cada CAPTCHA é único e possui seus próprios métodos de proteção — desde versões textuais tradicionais até sistemas adaptativos modernos. O mundo da tecnologia não para, e é importante acompanhar as novas mudanças nos métodos de proteção.
Esperamos que este artigo tenha sido útil para você e ajudado a entender diferentes aspectos dos CAPTCHAs e sua resolução. Recomendamos que você experimente os Ferramentas de desenvolvedor, para entender melhor como esses sistemas funcionam, e use CapMonster Cloud para resolver com eficiência tarefas relacionadas a CAPTCHAs!
NB: Por favor, observe que o produto destina-se à automação de testes exclusivamente dos seus próprios sites e recursos, aos quais você tem direito legal de acesso.
