Spammers kraken captcha-systeem Gmail
Gepubliceerd: Dinsdag 26 februari 2008
Auteur: Andreas Udo de Haes
Slimme spammers hebben met behulp van botnets en geavanceerde tekenherkenning de anti-spambeveiliging van Gmail doorbroken.
Dat meldt The Register op basis van onderzoek van beveiligingsbedrijf Websense.
Captcha's zijn afbeeldingen met vervormde cijfers en letters die door internetgebruikers ontcijferd moeten worden als zij zich aanmelden voor bepaalde diensten. Captcha's bieden bescherming tegen geautomatiseerde spam, omdat de misvormde tekens niet door robots zijn te ontcijferen. Met de regelmaat van de klok weten inventieve hackers het systeem echter toch te breken.
De spamboeven maken voor deze nieuwe kraak van Google's maildienst gebruik van twee verschillende botnets, constateert Websense. De eerste host tracht met optische tekenherkenning (OCR) de captcha te ontcijferen, vergelijkbaar met de onlangs gemelde Windows Live Hotmail captcha-kraak.
Dubbele kraakmethode
Maar er wordt tegelijkertijd nog een tweede host ingezet, die de captcha-afbeelding in stukken hakt om zo de individuele tekens te ontcijferen. Het doel van deze tweede host is nog onduidelijk, want het slagingspercentage van deze kraaktechnologie is vooralsnog zeer laag.
Bij elkaar opgeteld slagen de spammers erin één op de vijf Gmail-registraties succesvol af te ronden. Dat lijkt weinig, maar met een geautomatiseerde procedure en duizenden beschikbare zombiecomputers zijn dan toch al gauw talloze spamaccounts aangemaakt.
