Hotmail-Captcha per Bot in sechs Sekunden ausgehebelt

"Über kurz oder lang wird es zusätzliche Sicherheitsmechanismen brauchen"

Laut Sicherheitsexperten der Websense Security Labs können Spammer mit verbesserten Bots Captcha-Tests von Webmail-Systemen schneller umgehen als bisher. Nur noch sechs Sekunden soll ein neuer, als „aggressiv und unmittelbar“ bezeichneter Angriffsversuch auf den Hotmail-Captcha benötigen, um den Schutz gegen die automatisierte Accountanmeldungen zu umgehen.

Ein Captcha-Test ist ein Bild aus verzerrten Zeichen, die identifiziert werden müssen. Derartige Bildrätsel sollen bei vielen Webmail-Services erreichen, dass nur reale Nutzer Accounts registrieren. Spammer aber haben Interesse an der Nutzung von Webmail-Accounts, die kostenlos, kaum zu verfolgen und nur selten auf Spam-Blacklists zu finden sind. Daher setzen sie inzwischen Registrierungs-Bots ein, die auch Captcha-Mechanismen auszutricksen versuchen.

Aktuell ist Hotmail im Visier von Cyberkriminellen, welche die Geschwindigkeit ihres Angriffssystems verbessern. Jeder Versuch zum Umgehen des Captcha-Mechanismus dauert mit den neuen Bots Websense zufolge kürzer als bei bisherigen Angriffen dieser Art – im Mittel sechs Sekunden. Die Erfolgsrate sei mit 10 bis 15 Prozent etwas geringer als bei einer Angriffswelle auf den Google-Mail-Captcha im Februar.

Captchas sind durch jüngste Angriffe in den Blickpunkt und auch in die Kritik geraten. Dass das automatische Austricksen von Captcha-Tests signifikant zum Spam-Problem beitrage, hatte Google-Sicherheitsexperte Brad Taylor jedoch Mitte März gegenüber der New York Times angezweifelt. Vielmehr kämen niedrig bezahlte Arbeitskräfte in Dritte-Welt-Ländern zum Einsatz, um die Bildrätsel zu lösen.

Eine weitere Variante stellte Gunter Ollmann, Forscher von IBMs Abteilung Internet Security Systems, Ende Februar vor. Kurz nach dem Start von Captchas bei Webmail-Services hätten Angreifer normale Internetznutzer zum Lösen der Bildrätsel ausgenutzt. Willige Rätsellöser seien mit Gratispornografie angelockt worden.

„Zur Zeit sind Captcha-Mechanismen ganz brauchbar“, meint Microsofts Sicherheitssprecher Gerhard Göschl. Allerdings erscheine es sinnvoll, an Verbesserungen zu arbeiten und sie nicht als alleinigen Schutz zu nutzen. „Über kurz oder lang wird es zusätzliche Mechanismen brauchen.“

IBMs Ollmann findet härtere Worte: „Captchas waren eine gute Idee, aber in der heutigen profitorientierten Angriffsumgebung sind sie als Schutzmechanismus weitgehend irrelevant geworden.“ Geeignet seien sie allerdings als Abwehr gegen „Scriptkiddies“ – also Amateure, die mit vorgefertigten, einfachen Werkzeugen angreifen.

Themenseiten: Spam, Websense

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Hotmail-Captcha per Bot in sechs Sekunden ausgehebelt

Kommentar hinzufügen
  • Am 15. April 2008 um 8:41 von MW-Internet

    Wie lange noch…
    … braucht es denn, bis anstatt immer ausgefuchster Sicherheitsmechanismen, die den Umgang mit dem Internet für die "realen" Benutzer weiter kompliziert bis unmöglich machen endlich die Spammer per Gesetzeskraft verfolgt und ausgeschaltet werden?!

    Nirgendwo anders als im Internet wird der ehrliche Benutzer derart gemassregelt und die wirklichen Kriminellen besser geschützt bzw. nicht verfolgt! dabei dürfte der wirtschaftliche Schaden deutlich höher sein als alle Bankraube zusammen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *