Zoals elke IT-beheerder weet, is inventarisbeheer saai maar noodzakelijk. Onlangs gebruikte ik het dekkingsportaal van Apple om AppleCare-plannen te beheren. Het portaal laat je maar één serienummer per keer plakken. Voor elk serienummer moet je ook een CAPTCHA oplossen.
Dat is niet goed genoeg voor een administratieve workflow met veel volume. Er zou een API met rate limits moeten zijn, of ten minste een geauthenticeerd endpoint waarmee geverifieerde gebruikers het werk kunnen doen zonder herhaalde visuele challenges.
Dus gaf ik de taak aan een AI-agent. Eerst duwde de agent terug: er stond een CAPTCHA in de weg. Na extra instructies voltooide hij de workflow toch. Hij controleerde de lijst en bewoog door het portaal zonder de herhaalde menselijke frictie die de pagina probeerde af te dwingen.
Die ervaring maakte de verschuiving duidelijk. CAPTCHAs zijn niet langer betrouwbaar als primaire botverdediging. Ze creëren nog steeds frictie, maar die frictie raakt vooral echte gebruikers en operationele teams. Moderne automatisering kan de challenge oplossen, omzeilen of zich eraan aanpassen.
Het botecosysteem won de CAPTCHA-wedloop
Het ecosysteem rond CAPTCHA-omzeiling is volwassen. Aanvallers lossen de challenge niet op zoals jij wilt. Ze automatiseren hem, besteden hem uit of vermijden hem.
Een studie uit 2024 van onderzoekers aan ETH Zurich liet zien dat hun systeem Google reCAPTCHAv2 met 100% nauwkeurigheid kon oplossen. Cloudflare's Radar-review van 2025 meldde ook dat AI "user action" crawling met meer dan 15x groeide in 2025. Die categorie omvat crawlers die websites bezoeken als reactie op een gebruikersactie of prompt, wat veel dichter bij browsergestuurde taakuitvoering ligt dan oud bulk-scrapen.
Zichtbare anti-botcomponenten zijn makkelijk te detecteren voor automatisering. Zodra een bot weet dat er een CAPTCHA staat, is de volgende stap duidelijk: vertragen, infrastructuur wisselen, de taak naar een solver sturen of opnieuw proberen met een ander browserprofiel.
Waarom zichtbare botverdediging averechts werkt
Zodra een bot een CAPTCHA ziet, leert hij dat hij is gemarkeerd. Die voorspelbaarheid is het probleem. De verdediging kondigt zichzelf aan en vertelt de aanvaller waar de muur staat.
Dat creëert een trainingslus. De bot verandert zijn fingerprint, past timing aan, roteert proxies en probeert opnieuw. Elk zichtbaar signaal wordt feedback voor de volgende generatie bypass-tools.
Dat betekent niet dat elke challenge nutteloos is. Het betekent dat zichtbare challenges niet de primaire controle moeten zijn. Ze werken het best als één stap in een bredere risicoreactie, alleen geactiveerd wanneer de sessie al verdacht lijkt.
De betere strategie is aanvallers resources laten verspillen
Als bots aan de voordeur blokkeren niet genoeg is, is de betere strategie om aanvallers resources te laten verspillen.
In plaats van meteen een duidelijke muur te tonen, laat je verdachte sessies moeite doen. Laat ze door delen van de flow bewegen. Laat ze hun eigen compute, proxycapaciteit, accountvoorraad en tijd verbruiken. Beperk, degradeer of laat de sessie daarna vallen zodra je vertrouwen hoog genoeg is.
De asymmetrie is belangrijk. Jouw kosten om één nep-sessie te bedienen zijn vaak laag. Hun kosten om duizenden nep-sessies te draaien met browserautomatisering, betaalde proxies, solverdiensten en retries zijn echt. Elke verspilde cyclus verhoogt de operationele kosten van misbruik.
Een flight-booking honeypot als voorbeeld
Stel dat je een platform voor vluchtboekingen runt. Bezoekers kiezen vluchten, voegen passagiersnamen toe en bewegen door checkout. Bijna aan het einde laat je telemetrie zien dat de sessie geen normale klant lijkt. Het lijkt op een prijsscraper of geautomatiseerde aankoopflow.
Je hoeft die niet op de eerste pagina met een CAPTCHA te blokkeren. Je kunt de respons veranderen.
Verander de taal. Toon een ongebruikelijke valuta. Zet de eindprijs achter een contactstap. Vraag om opnieuw inloggen. Toon één prijs tijdens de geautomatiseerde flow en laat de echte menselijke prijs pas zien wanneer sterkere vertrouwenssignalen verschijnen.
De scraper rapporteert vervuilde data. Je echte klanten zien nog steeds de juiste ervaring. Je hebt de bot niet getraind met een duidelijke challenge. Je hebt zijn output minder bruikbaar gemaakt.
| Tactiek | Effect op automatisering | Effect op een mens |
|---|---|---|
| Taalwissel halverwege | Breekt aannames in scraperlogica | Hoogstens lichte hinder |
| Ongebruikelijke valuta | Vervuilt geëxtraheerde prijsdata | Vaak onzichtbaar in echte checkout |
| "Contacteer ons" aan het einde | Dwingt handmatige interactie af | Signaleert maatwerk of hogere risicoafhandeling |
| Opnieuw authenticeren | Voegt kosten per sessie toe | Eén extra stap voor een echte gebruiker |
| Prijs later tonen | Verspilt de geautomatiseerde reis | Behoudt het normale koperpad |
De kracht van "contacteer ons"
Als je een dienst of configureerbaar product verkoopt, toon dan niet elk commercieel detail in de eerste stap. Vraag informatie tijdens de flow en bewaar de definitieve offerte voor het moment waarop je genoeg vertrouwen hebt in de bezoeker.
"Contacteer ons" is niet alleen sales. In risicovolle flows kan het ook een fraudebestrijding zijn.
Het betekent dat je de business nog steeds wilt, maar dat de sessie eerst een menselijk contactpunt nodig heeft. Laat de bezoeker bellen, WhatsApp gebruiken, mailen, authenticeren of met sales spreken. Elke stap voegt bewijs toe dat je met een echt persoon of een echt koopproces te maken hebt.
Accepteer de juiste hoeveelheid frictie
Sommige teams horen dit en vrezen conversieverlies. Die zorg is terecht. Brede frictie is duur.
Het antwoord is niet elke bezoeker harder laten werken. Het antwoord is selectieve frictie. Fraude en misbruik creëren al operationele kosten via betalingsfraude, first-party misuse, card testing, accountmisbruik en supportdruk. Het MRC 2026 Global eCommerce Payments & Fraud Report volgt deze problemen als terugkerende fraude- en betaalrisico's voor merchants.
Als een contactmuur een klein beetje legitieme conversie kost maar een dure geautomatiseerde misbruikroute blokkeert, kan die ruil logisch zijn. De sleutel is precisie. Plaats frictie waar het risico zit, niet waar elke normale bezoeker begint.
Wat je moet doen in plaats van vertrouwen op CAPTCHAs
Stap over van zichtbare challenges naar browserlaagbewijs en adaptieve respons.
Begin met deze stappen:
- Monitor browser-, apparaat-, netwerk- en gedragssignalen gedurende de hele sessie
- Classificeer verkeer op intentie en risico, niet alleen op "bot of mens"
- Pas progressieve respons toe: toestaan, monitoren, degraderen, contact eisen, opnieuw authenticeren of blokkeren
- Vermijd duidelijke challenges te vroeg in de flow
- Meet misbruikkosten, false positives en conversie-impact samen
cside AI Agent Detection en cside Fingerprinting helpen teams browserlaagsignalen zien die legacy botverdediging mist. Dat omvat stealth-automatisering, proxymisbruik, gevirtualiseerde omgevingen, verdachte sessiecontinuïteit en AI-agentgedrag in echte browserflows.
CAPTCHAs zijn niet dood omdat elke challenge altijd faalt. Ze zijn dood als standaardantwoord. Moderne verdediging is stiller, selectiever en duurder voor de aanvaller.
Boek een demo om te zien hoe cside risicovolle browsersessies detecteert voordat ze gevoelige flows bereiken.
