Ook Captcha GMail niet veilig

Security-onderzoeker Sumeet Prasad schrijft op het Threat Blog van Websense dat spammers inmiddels bots inzetten die in staat zijn om zich aan te melden voor een Gmail-adres. Dergelijke automatisch verkregen adressen kunnen vervolgens worden gebruikt om spamruns uit te voeren.

De aangemaakte adressen stellen de cybercriminelen ook in staat om op andere wijze misbruik te maken van de infrastructuur van Google. Een Gmail-adres kan immers toegang geven tot verschillende andere diensten van de zoekgigant.

Recent ontdekte Websense ook al dat de captcha-beveiliging van Windows Live Hotmail was gebroken. De spammers slaagden er in 30 tot 35 procent van de gevallen in om de door Windows Live gegenereerde captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) te kraken. Ook de captcha van Yahoo is hoogstwaarschijnlijk niet langer waterdicht.

In vergelijking met het breken van de Hotmail-captcha gebeurt het ontcijferen van de bescherming van Gmail op een geavanceerde manier: in plaats van één bot (zoals bij Hotmail) zetten de spammers twee gecompromitteerde hosts in. Vanwege de variaties in het captcha-plaatje van Gmail kan het gebeuren dat de ene host niet slaagt in het kraken van de code. In dat geval waagt de andere bot een poging. De twee bots gebruiken verschillende methodes om de captcha te ontcijferen. Desondanks ligt het succespercentage volgens Websense nog maar op 20 procent.

Volgens het security-bedrijf heeft het een aantal voordelen om gebruik te maken van een Gmail-adres voor het versturen van spam. De belangrijkste is dat internetaanbieders niet snel het Gmail-domein op een zwarte lijst zullen plaatsen. Daarnaast is Gmail natuurlijk gratis en is het voor Google moeilijk om tijdig op te treden omdat er dagelijks grote hoeveelheden adressen worden aangemaakt.

Bron: Techworld