注册一个烂橘子号玩游戏,被验证码气进7次ICU

2021-04-15 星期四


怪物马戏团 | 文


我怀疑,最近大火的《双人成行》其实是一个阴谋。制作人看似要给全世界情侣一个泼洒狗粮的天堂,实际上是在暗中报复他们。


《双人成行》算是今年游戏界的一匹黑马,它是一款双人联机游戏,极富游戏性,创意与乐趣皆有。现在游戏的评价非常高,已经吸引了大量情侣和基友,在“年度必玩合作游戏”的名单上坐得稳稳。



但别急,在他们进入二人世界之前,得经过一道考验:成功注册两个烂橘子账号。



我可以把这个步骤比喻成上天堂前的试炼,但实际体验过后,我只想直骂它NT。



“烂橘子”是一个很多PC玩家熟悉的游戏平台,它属于美国艺电游戏公司,也就是EA。烂橘子的原文是origin,叫它橘子是因为这词听起来很像英文单词orange(橘子),况且其logo使用的也是橙色。


梗图:撒旦和origin同logo


至于“烂”,当然是因为它很烂了。


在全世界玩家心中,EA的口碑一直挺糟,他们总是做着为利润糟蹋游戏IP的事,几乎不会把玩家的体验放在第一位。这种理念之下,他们的游戏平台自然也不会多看重用户体验。


对中国玩家来说,烂橘子的烂更是让人发指。它可以花数小时才刷出登陆页面,或是强制用半天时间自我更新,更新完成前禁止你上号。



下载的时候就更别说了,哪怕你费尽心思,又是改host又是挂加速器地一番操作,它也可以拿一个250B/s的下载速度砸在你脸上,还每十分钟断一次。


蛋疼的是,EA旗下几乎所有游戏都必须通过烂橘子启动。除开最近的《双人成行》外,像是《模拟人生》《龙腾世纪》《战地》《FIFA》等系列游戏,都得靠它启动,哪怕你的游戏是别的平台上买的。


质量效应系列也是


这种羞辱性极高的苦行级体验,让“正版游戏受害者”这样的梗在国内流行多年。其实,origin这几年里确实在改善国内玩家的下载体验,可惜很多时候也只是从根本不能用,变成绞尽脑汁处理后能缓慢下载而已。


谁知这么多年后,origin居然找了个比垃圾传输更具威力的东西来恶心大家:这就是臭名昭著的骰子验证码



我相信,只要在注册origin账号时遇见过这个验证码的人,对此一定深恶痛绝,只差对着电脑屏幕破口大骂了。


PDD花了半小时也未能成功击穿装甲


这个验证码的规则非常“简单”。用户会看到6张图,每张图上都有数颗骰子,你需要算出这些骰子朝上一面数字加起来的总和,找到那个总和为14的图“即可”。


虽然有些麻烦,但也不算反人类,对吧?别急,还没开始呢。因为这个过程得重复数次,重复多少次呢?一开始,烂橘子告诉你说要做5次。



只是当你完成5次后,会发现这次数突然……变成10了???



没错,这验证码就是在用这种下三滥的套路引诱你,不然一开始就说清楚,岂不是没人上钩了。


所以,实际上我们得完成这个东西12次。这绝对是一个精污又让人暴怒的过程,特别是考虑到这些骰子还分成两种随机出现,一种是数字,一种是圆点。但这还没完。


因为首先,这个验证码非常容易出错。而这个验证码的规定是,只要12次中你有一次选错了,那就得从头开始做。


试想算12次


此外,你还要面对各种匪夷所思的网络连接问题,且频率极高。单是我在写文章时为了截图,就成功触发了一次:每当我按到第9张图的时候,它就会告诉我链接出了毛病,必须刷新。而一旦刷新,我就得重头来过,并在下一轮回继续触发bug


每次都是第9张才出现


那当你耗尽耐心和运气把题答出来后,就能成功通过了吗?那肯定是不行的,因为整个验证码还会计时,时限很短,且不会摆在明面上,它只会在你跨过千山万水后,临门送你一脚,把超时作废的提示糊你脸上。


如果你真的通过了以上所有试炼,那恭喜你,你已经成功迈入EA乐园的大门。从此之后,你可以开始“享受”origin给你带来的网络服务,以及EA为你打造的电玩乐园了。



这个验证码的反人类程度,已经到了让某宝出现相关产业的地步:你可以花8元让人帮忙注册一个烂橘子账号。



不过,这个验证码其实可以躲过去,而且方式显得非常可疑:你可以直接用手机浏览器去官网注册,或是用“梯子”登陆。但要注意的是,这些方法时不时会失效,但能肯定的是,你只要是在真正的欧美国家注册橘子,且选了英文,就很难遇到这个验证码,取而代之的码很简单


用梯子后,验证码会变成这种简单的,两次就行


或是找出企鹅


曾经,你还可以选择语音验证码。但现在,也许是因为太多教程教人这么做,origin已经关闭了他们的语音验证通道


连这个通道关闭,都带着烂橘子把人气死的传统风范:它不会在你点击语音验证的时候告诉你已经取消,而是会真给你听一个听力题,等你写好答案交上去时才说:对不起,其实考试取消了。







所以烂橘子只是一个单独现象吗?当然不是,被验证码逼疯的大有人在。特别是在游戏平台里,经常有妖魔鬼怪级别的验证码出现。


就比如著名的暴雪,据说没人能在第一次答对暴雪的验证码。他们不止教人玩游戏,还要教人识字。




暴雪验证码的语音验证,才是他们给玩家的最大惊喜。它时不时会搞一些不可名状的声音出来,听着就像古神的低语,恐怕阿撒托斯打饱嗝都比它清晰。


Epic的注册验证码也是臭名昭著:你需要在限定时间里把十多张动物图摆正,超时或犯错都会导致重来。巧的是,这个验证码和之前说的骰子验证码一样,也可以靠挂梯子等方法绕过



这种情况还有很多很多,在国内游戏圈泛滥到了可疑的地步。而骰子验证码的反人类程度,显然不是简单的设计失误,能把人恶心成这样,恐怕得每一步都“精打细算”才行。


我原本打算做一个“最烂验证码”的排行榜测评,收集了一堆玩家反馈,谁知,最后发现它们全指向同一个地方:Arkose Labs


比如这位老哥提到的这游戏


同样是骰子,要找出相同面,重复十多次






在说Arkose Labs前,需要先简单科普一下验证码有关的知识。验证码的英文叫CAPTCHA,这是个超长短语的缩写,翻译成中文就是“全自动区分计算机和人类的图灵测试”。顾名思义,它的目的是帮网站把真人和脚本访问者分开。


如果没有验证码的保护,网站就会遭到大量攻击,导致服务器宕机,信息被盗走,黑客能抓住空隙,向网站用户发送大量垃圾邮件。所以验证码对我们来说是必不可少的,且暂时没有更好的替代品。


图中物:你(人类)最好的朋友


而验证码和黑客的关系,就像是一场攻城战,攻守双方都在逐渐提升自己的科技水平。到今天,我们最初熟悉的那一批验证码已经失效。


如今,就连暴雪用的那种扭曲字母验证码,也快要被攻破了。所以越来越多的网站开始使用谷歌的图像验证,或是检测用户的鼠标轨迹,来判断其是否为人类。


这其实是在检测你的鼠标轨迹(以及各种行为)


最新的验证码甚至可以检测你的浏览记录和习惯,以此判断你是不是人类。这样你不需要做出任何操作,代价就是部分隐私被查看。


另外,验证码还是个著名的“黑工头”,很多验证码背后都会白嫖使用者的人力。比如下面这种验证码中,只有一半是验证码,另一半是一些古籍中难以辨认的字母。


一半词来自对古籍中文字的扫描


你在完成验证时,也顺便帮忙认了一下单词,一旦有更多人和你做出同样的回答,AI就会将其记录为正确答案。


很多验证码背后都有一些别的目的,要么是为了收集信息,要么是为了增强AI。设计它们的谷歌正是以此白嫖了大量的人工。


这种就是在标注地图+训练AI的识图能力


现在,回到恶心验证码的罪魁祸首上来:Arkose Labs。正是这家公司,设计了骰子验证码和Epic的动物验证码。



实际上,Arkose Labs是一家主打网络安全,防止网络诈骗和攻击的公司,验证码只是他们的一个副业。你可以把它理解成一家专门给企业设计防火墙的公司


对于自己的验证码为何这么恶心,Arkose Labs没做出任何解释。不过从一些细节上,或许能看出一点端倪。


他们在海外的“人气”也挺高



首先,Arkose Labs在技术上不是最好的此类公司,他们服务的“高存在感”,只是对于游戏玩家而言


细看他们的创始历程,你会发现,他们的联合创始人中,有一位曾经是游戏机巨头雅达利的元老员工。所以从一开始,Arkose Labs就和游戏圈扯上关系了,这就是为什么他们的客户里1/3都是游戏公司:暴雪、Epic、origin、我的世界……


熟悉吗


红框为雅达利


在合作项目中,他们负责的不止有验证码,还有道具交易的安全防护等。


找到验证码的宣传页,你会看到以下这类刺眼用语:他们的验证码非常方便;不会拦住真正的好用户;对真实用户而言,这些验证码根本没有挑战,大家“有98%的第一次通过率”。


WDNMD


这话对于一些地区的人来说确实如此,对另一些地区的人来说就是狗屁。所以才会出现“我得算14次骰子,室友只用找找企鹅”的情况。



Arkose Labs也大方承认了他们在利用验证码的输入行为。一方面是为了增强防护AI,一方面为了研究用户们的行为逻辑。


但这还不足以解释骰子验证码的阴间,直到我在长长的介绍页里找到一小块说明:为了应对“血汗工厂”,他们将采取极为耗损时间和资源的防护措施


就是这里


突然,一切都能说清了。


之前,当我在油管上寻找该验证码的相关资料时,不断会跳出一些兼职广告,告诉我只要去输入几个验证码,就能获取数百美金。这些广告,当然是假的。


就是这种


其实这是一条灰色产业链,其运作方式就是把网站的验证码抓取下来,再让人集中解开。这事本身是合法的,但除了攻击网站的黑客外,很少有人需要这种短期内输入大量验证码的服务。


所以就连此类兼职网站的代表之一Megatypers,都隐瞒了自己创始人的资料和业务详情。



调查一番后,我发现这种工作的真实薪酬应该是在每1000个验证码赚0.15到0.4 美金之间,或是按时间计算,每小时0.2美金左右,有最低完成指标。总之,全都低得发指。


这还是最好的情况。因为这类网站是诈骗重灾区,时常会让人先交钱才可提现。就连正规的网站也会耍各种心眼,比如一旦你输错数次,就封禁账号且不给报酬。


这种垃圾待遇,发达国家用户当然不屑一顾。所以很多这种网站的兼职者,都在印度、巴基斯坦、菲律宾,甚至是坦桑尼亚这样的地方。



所以这些广告里的人通常也不会来自发达国家


而Arkose Labs要做的,就是把人力攻击的成本,提到这种灰产的承受力之上。他们如果偷懒,就有一个没心没肺的做法:把这类国家的用户的验证码,通通换成故意拖时间并恶心人的模式。


可能这就是为什么只要换成别国的IP,烂橘子验证码就有可能变得简单。至于为什么有时候搭梯子不管用,其实很简单:在Arkose Labs庞大官网的另一个地方,他们还写着自己擅长的另一件事:辨别各种IP伪装,并识破其真正所在地。



当然,以上原因只是一些主观推测。不过目前确实难以找到另一个理论,来解释这个迷惑又过分的验证码。


如果这猜测为真,且Arkose Labs是检测到大量来自国内IP的攻击才做出“特供版”的验证码,那这事真的很悲哀;而这解决方式也真的很懒惰,因为国内有很多付了钱的正常玩家深受其害,却无人出面处理


但如果Arkose Labs只是仅凭怀疑就对国区进行如此过分的“特殊处理”;或是单纯想无理由地恶心一下国内的玩家,那真是可以把人直接气进ICU了。



对了,我还找到了他们下一代验证码的demo:找出螺旋星系;以及,找出那只不能碰到奶酪的老鼠……



-END-



原文地址:点击此处查看原文