Microsofts Captchas für Windows Live geknackt
Spammern ist es gelungen, Microsofts Schutz vor automatischen Skripten zum Anlegen von Live Hotmail-Konten auszuhebeln. Damit lässt sich Microsofts Dienst zum massenhaften Versenden von Spam missbrauchen.
- Daniel Bachfeld
Spammern ist es nach Angaben des Sicherheitsdienstleisters Websense gelungen, Microsofts Schutz vor automatischen Skripten zum Anlegen von Live Hotmail-Konten auszuhebeln. So liege die Erkennungsrate der Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) in aktuellen Angriffen zwischen 12 und 20 Prozent.
Die Dauer der Erkennung eines Captchas soll maximal 25 Sekunden betragen. Damit sind die Spammer in der Lage, ausreichend viele Konten für den massenhaften Versand von Spam-Mails anzulegen. Live Hotmail ist für die Spammer besonders interessant, weil der Dienst über eine hohe Reputation verfügt und Spam-Filter die Mails von solchen Adressen nicht schon allein aufgrund der Herkunft blockieren können.
Wie genau die Erkennung der Captchas funktioniert, schreibt Websense in seiner Analyse eines Netzwerkes für Spam-Bots nicht. Möglicherweise steckt auch gar kein Tool dahinter, sondern Personen, die die Captchas visuell erkennen. So soll es etwa in China Unternehmen geben, die derartige Dienstleistungen anbieten. Dagegen spricht wiederum die geringe Trefferquote von nur 20 Prozent. Allerdings sind die Captchas so stark verschwurbelt, dass auch ein normaler Mensch damit Probleme haben könnte.
Immerhin hat Websense die Kommunikation zwischen den Spam-Bots und dem Control-Server ein wenig näher beleuchten können. Demzufolge versuchen die Bots ein Konto bei Windows Live Hotmail anzulegen und schicken das Captcha an einen zentralen Captcha-Breaking-Host. Der sendet das Ergebnis an die Bots für die weitere Anmeldung zurück. Laut Bericht erfolgt die Kommunikation dabei verschlüsselt.
In der Vergangenheit haben Spammer es immer wieder geschafft, die Captchas verschiedener Dienstleister mit Tools zu knacken, darunter auch Google. Zwar reagieren die Dienstleister mit immer neuen Captcha-Methoden, in der Regel dauert es aber nur wenige Wochen, bis die Spammer nachgezogen haben und die Erkennung in den für sie profitablen Bereich gelangt. Auch Microsoft hatte erst im Dezember seine Captchas verbessert.
Siehe dazu auch:
- Spammer hebeln Googles Captchas aus, Meldung auf heise Security
(dab)
