De hackende spammers maken hiervoor gebruik van geavanceerde optische letterherkenningssoftware (OCR) en een botnet. Het gedistribueerde leger van geïnfecteerde zombiecomputers probeert constant nieuwe mailaccounts aan te maken via de op de achtergrond draaiende browser Internet Explorer.

Geautomatiseerd en gedecentraliseerd

Eenmaal aangekomen bij de captcha-invoer, wordt het plaatje gekopieerd en naar de botmastercomputer verstuurd, gelezen door OCR-software en weer teruggestuurd naar de zombie. Is het account aangemaakt dan begint diezelfde zombie meteen in de rondte te spammen.

Het hele proces duurt slechts 6 seconden, melden security-onderzoekers van Websense. Slechts circa 15 procent van de geïnitieerde accountaanvragen is overigens succesvol, maar met een geautomatiseerd leger van zombies zijn toch al gauw duizenden spamaccounts aangemaakt.

Turing test

Captcha's zijn specifiek ontworpen om mens van machine te onderscheiden. De letters zijn dusdanig vervormd en gemangeld dat alleen een creatief mensenbrein ze kan lezen. Ten minste, dat is de bedoeling. Maar met steeds betere OCR-technologie kunnen de letter- en cijfercombinaties, ondanks de vervormingen en strepen, toch steeds vaker automatisch worden uitgelezen.

Een veelgebruikt alternatief voor OCR is mensen in te zetten om captcha's in te vullen voor de spammers, bijvoorbeeld door ze te lokken met striptease en porno.

Wapenwedloop

Begin dit jaar werden zowel de Hotmail als Gmail captcha's al eens gekraakt, waarop Microsoft en Google de plaatjes hebben aangepast. Websense bevestigt overigens alleen dat de captcha van Windows Live Hotmail weer is gekraakt. Op een hackersblog meldt ene 'Emonk' echter dat ook de Gmail-captcha weer voor de bijl is gegaan in de nieuwste versie van XRumer, een kwaadaardig Russisch all-in-one softwarepakket voor accountkrakers en spammers.