Como Identificar Diferentes Tipos de CAPTCHA

Métodos de verificação de sistemas de proteção

Os desenvolvedores de bots não ficam parados, e CAPTCHAs simples em texto já não são sempre capazes de distinguir com eficiência usuários reais de sistemas automatizados. Ao mesmo tempo, as tecnologias modernas também estão em constante evolução, oferecendo métodos de proteção cada vez mais complexos e combinados para sites. Vamos dar uma olhada nesses métodos:

1. Análise de requisições e respostas HTTP

São analisados cabeçalhos de requisição e resposta – User-Agent, Referer, Accept-Language e Cookies. A ausência de valores padrão pode indicar automação.
Parâmetros em URLs e requisições POST são verificados quanto a valores suspeitos ou fora do padrão.
A frequência de requisições a partir de um único endereço IP é medida. Frequência muito alta pode indicar atividade de bot.
A presença e validade de cookies usados para identificação de sessão e prevenção de ataques de repetição são verificadas.

2. Análise TCP/IP

São analisadas características de estabelecimento e encerramento de sessões TCP – tempo de conexão, frequência de requisições e latência. Bots podem apresentar comportamento incomum em comparação a usuários reais.
São verificados padrões de transmissão de pacotes, repetições ou atrasos incomuns que podem indicar automação.

3. Análise de sessões TLS

Certificados são verificados para identificar certificados suspeitos ou falsificados. Valores incomuns em certificados podem indicar tentativa de contornar proteção.
O uso de criptografia e a correção do processo de descriptografia de dados são avaliados (bots podem ter dificuldades com criptografia).

4. Fingerprint (impressão digital do dispositivo)

Perfilamento do navegador – são coletados dados como versão do navegador, plugins, fontes e configurações de JavaScript. Isso ajuda a distinguir usuários reais de bots.
Características do dispositivo são analisadas – resolução de tela, configurações do sistema operacional e tipo de dispositivo. Bots frequentemente usam ambientes virtuais ou incomuns.
O comportamento do usuário é analisado – movimento do mouse, velocidade de digitação e frequência de interação.

Como identificar o nome e o tipo de qualquer CAPTCHA

Ao visitar determinados sites, os usuários frequentemente encontram CAPTCHAs, mas nem sempre sabem qual é o tipo ou como ele se chama. Para identificar o tipo, use as Ferramentas do desenvolvedor (DevTools) e siga estes passos simples:

Abra as DevTools: pressione Ctrl+Shift+I (ou Cmd+Option+I no Mac), ou clique com o botão direito na página e selecione “Inspecionar”.
Vá para a aba Elements: aqui você vê a estrutura HTML da página e pode localizar o CAPTCHA.
Encontre o elemento do CAPTCHA: use a ferramenta de seleção (seta no canto superior do DevTools) e clique no CAPTCHA na página.
Analise HTML e atributos: verifique classes e IDs (por exemplo, class="g-recaptcha").
Abra a aba Network e atualize a página para ver requisições relacionadas ao CAPTCHA.
Verifique também as abas Sources e Network para scripts de inicialização do CAPTCHA.

Sinta-se à vontade para usar esta ferramenta útil! Experimente diferentes elementos e você não apenas entenderá qual CAPTCHA está sendo usado, mas também terá uma visão mais profunda de como outros elementos interessantes relacionados a CAPTCHA funcionam.

Quais tipos de CAPTCHAs e outras verificações são suportados pelo CapMonster Cloud e como identificá-los

Para pessoas, resolver um CAPTCHA geralmente não é difícil, mas para bots isso se torna uma barreira séria. Embora muitos sistemas automatizados sejam usados não para fins maliciosos, mas para testes de sites, scraping seguro e automação de tarefas rotineiras, os mecanismos de proteção ainda podem atrasar e complicar o trabalho. O processamento dessas verificações exige esforço significativo e tempo para adaptação do código. O serviço CapMonster Cloud simplifica bastante esse processo, oferecendo soluções para a maioria dos tipos populares de verificações:

reCAPTCHA v2, v3, reCAPTCHA invisível, reCAPTCHA Enterprise (v2 e v3)
GeeTest
Cloudflare Turnstile e Challenge
Captcha de texto
DataDome
TenDI
CAPTCHA da Amazon e Challenge

Para enviar uma tarefa de resolução de CAPTCHA ao servidor do CapMonster Cloud, é importante conhecer o seu tipo e versão exata.

Vamos analisar cada tipo de CAPTCHA com mais detalhes, suas características e como encontrar seus dados de identificação, para que durante o trabalho com sites você consiga identificar qualquer CAPTCHA e resolvê-lo com sucesso usando o CapMonster Cloud:

reCAPTCHA

reCAPTCHA é desenvolvida pela Google. Esta tecnologia usa uma combinação de métodos de análise do histórico do navegador, comportamento do usuário, endereço IP e outros indicadores para distinguir humanos de bots. Se o reCAPTCHA detectar algo suspeito, o usuário pode ser solicitado a realizar um teste para confirmar sua "humanidade". As versões modernas do reCAPTCHA incluem principalmente:

reCAPTCHA v2: neste caso, o usuário precisa marcar a caixa "Eu não sou um robô" ou resolver um desafio, como selecionar todas as imagens com um determinado objeto (motos, carros, semáforos etc.). Como alternativa, pode ser oferecida uma captcha de áudio.

reCAPTCHA v3: esta versão não requer interação do usuário. Ela analisa o comportamento do usuário na página e atribui uma pontuação – score (1,0 – provavelmente humano, 0,0 – provavelmente bot). Em caso de baixa pontuação, podem ser acionadas verificações adicionais.

Invisible reCAPTCHA: pertence ao v2, mas sem caixa visível. Assim como o v3, funciona em segundo plano e só exige interação do usuário em caso de comportamento suspeito. Visualmente não difere do reCAPTCHA v3.

reCAPTCHA Enterprise: versão mais avançada para proteção de sites.

Cloudflare Turnstile e Challenge

A Cloudflare oferece mecanismos modernos de verificação de usuários sem CAPTCHA clássica com imagens. A verificação pode ser realizada ao clicar no botão “Verify you are human” ou totalmente em segundo plano — com base em parâmetros do navegador, comportamento do usuário e sinais de rede. Se a verificação for bem-sucedida, o acesso ao site é permitido; caso contrário, a requisição pode ser limitada ou bloqueada.

Os principais mecanismos de verificação da Cloudflare são: Turnstile e Challenge Page.

Turnstile

Turnstile é um widget de verificação de usuário incorporado ao site. Dependendo das configurações do site e do nível de confiança da requisição, a Cloudflare pode usar diferentes modos de verificação:

Verificação não interativa — executada totalmente de forma automática, sem ação do usuário.
Verificação interativa não invasiva — em caso de atividade suspeita, pode exigir interação mínima.
Verificação invisível — executada em segundo plano sem exibir elementos de interface.

Verificação não interativa

Verificação interativa não invasiva

Challenge Page

Diferente do Turnstile, o mecanismo Challenge Page abre uma página de verificação separada antes de conceder acesso ao site de destino. O usuário pode precisar aguardar a conclusão da verificação automática, esperar alguns segundos ou confirmar a ação clicando no botão “Verify you are human”.

Esse mecanismo é considerado mais intrusivo, pois restringe temporariamente o acesso ao site até que a verificação seja concluída.

Principais tipos de verificação da Challenge Page:

Managed Challenge — a Cloudflare escolhe automaticamente o método de verificação ideal.
JS Challenge — executado automaticamente via JavaScript.
Verificação interativa — requer interação com elementos da página de verificação.

Exemplo de página separada de verificação Cloudflare Challenge

Ao analisar via DevTools, a presença da Challenge Page pode ser identificada frequentemente pelo fato de que a primeira requisição ao site retorna o status HTTP 403, após o qual o usuário é redirecionado para a página de verificação.