Hackers gebruiken striptease om Captcha's te kraken
Gepubliceerd: Maandag 29 oktober 2007
Auteur: Evan Schaafsma
Beveiligingsbedrijf Panda Security ontdekte afgelopen week een nieuwe vorm van social engineering die inspeelt om de primaire driften van de man.
Op het blog van PandaLabs, de researchafdeling van het bedrijf, verklaart het bedrijf hoe hackers pc-gebruikers verleiden tot het oplossen van zogenaamde Captcha's (Completely Automated Public Turing test to tell Computers and Humans Apart).
Captcha's zijn afbeeldingen met vervormde cijfers en letters die door internetgebruikers ontcijferd moeten worden als zij zich aanmelden voor bepaalde diensten. De afbeeldingen dienen om het gebruik van bots tegen te gaan.
PandaLabs ontdekte afgelopen week dat hackers een kleine applicatie verspreiden die na installatie een schaars geklede dame toont. In ruil voor het ontcijferen van een getoonde Captcha belooft de vrouw de pc-gebruiker te trakteren op een striptease.
"Nu ben je een menselijke geautomatiseerde Captcha-lezer", concludeert PandaLabs. Als de ontcijferde code is ingetoetst, wordt deze vestuurd zodat de bescherming van de site waarop de captcha te vinden is, gekraakt wordt. Dit type aanval kan volgens het beveiligingsbedrijf gebruikt worden om massa-mailaccounts te maken, reacties te plaatsen en alle andere diensten waarbij Captcha's als autenticatiemethode gebruikt worden. PandaLabs plaatste een screenshot van de gewraakte applicatie, waarbij een Captcha van Yahoo gekraakt werd.
Een voorbeeld van een legitieme inzet van mensen voor het uitvoeren van taken die moeilijk te automatiseren zijn, is de Mechinal Turk van van Amazon. Hierbij kunnen internetgebruikers geld verdienen door bepaalde taken, zogenaamde 'human intelligence tasks' of HITs, uit te voeren.
