Tweet

0

Nieuwe Hotmail-captcha alweer gekraakt

Spammers blijven onvermoeibaar aanvallen

De laatste versie van het Captcha-systeem van Live Hotmail, dat Microsoft eind 2008 in stelling bracht, is alweer gekraakt. Spammers passen hun aanvallen gewoon consequent aan, volgens Websense.

Het beveiligingsbedrijf publiceerde dit weekend in zijn blog een uitgebreide analyse van de aanval. Zoals voorheen gebruiken de spammers zombie-pc's voor het invullen van de belangrijkste velden voor registratie van een nieuw account. Denk aan voor- en achternaam, gebruikersnaam, wachtwoord en land.

Decodering
Vervolgens wordt de door Hotmail opgediste Captcha-afbeelding naar de botserver gestuurd. Die analyseert het beeld en gooit de Captcha-code terug naar de pc. Deze waagt vervolgens een poging om het valse account te creëren. Het bijzondere aan deze methode is dat er versleutelde communicatie plaatsvindt tussen de zombie-pc en de botserver. Op die manier hopen de spammers onontdekt te blijven.

Het succespercentage is hoog, volgens Websense. Eén op de acht aanvallen zou succesvol zijn. De Captcha-beeldanalyse duurt slechts twintig tot 25 seconden, per poging per machine.
 

Captcha is een kat-en-muisspel waar geen eind aan komt. (Bron: Websense)

Kat-en-muis
Captcha blijft voorlopig een kat-en-muisspel, stelt Websense. Microsoft past het algoritme aan, en spammers volgen onvermijdelijk met een aanval.  "Ze zijn financieel gemotiveerd om details te vergaren en zullen de aanval steeds geavanceerder maken, in een zich voortdurend herhalende cyclus", aldus het beveiligingsbedrijf.

Voor Microsoft staat er veel op het spel. Als spammers voortdurend de Captcha weten te kraken, kunnen ze talloze spammails sturen vanuit Hotmail-accounts, wat de e-maildienst en domeinnaam een slechte naam oplevert.

bron: ZDNet