Laut Sicherheitsexperten der Websense Security Labs können Spammer mit verbesserten Bots Captcha-Tests von Webmail-Systemen schneller umgehen als bisher. Nur noch sechs Sekunden soll ein neuer, als "aggressiv und unmittelbar" bezeichneter Angriffsversuch auf den Hotmail-Captcha benötigen, um den Schutz gegen die automatisierte Accountanmeldungen zu umgehen.
Ein Captcha-Test ist ein Bild aus verzerrten Zeichen, die identifiziert werden müssen. Derartige Bildrätsel sollen bei vielen Webmail-Services erreichen, dass nur reale Nutzer Accounts registrieren. Spammer aber haben Interesse an der Nutzung von Webmail-Accounts, die kostenlos, kaum zu verfolgen und nur selten auf Spam-Blacklists zu finden sind. Daher setzen sie inzwischen Registrierungs-Bots ein, die auch Captcha-Mechanismen auszutricksen versuchen.
Aktuell ist Hotmail im Visier von Cyberkriminellen, welche die Geschwindigkeit ihres Angriffssystems verbessern. Jeder Versuch zum Umgehen des Captcha-Mechanismus dauert mit den neuen Bots Websense zufolge kürzer als bei bisherigen Angriffen dieser Art - im Mittel sechs Sekunden. Die Erfolgsrate sei mit 10 bis 15 Prozent etwas geringer als bei einer Angriffswelle auf den Google-Mail-Captcha im Februar.
Captchas sind durch jüngste Angriffe in den Blickpunkt und auch in die Kritik geraten. Dass das automatische Austricksen von Captcha-Tests signifikant zum Spam-Problem beitrage, hatte Google-Sicherheitsexperte Brad Taylor jedoch Mitte März gegenüber der New York Times angezweifelt. Vielmehr kämen niedrig bezahlte Arbeitskräfte in Dritte-Welt-Ländern zum Einsatz, um die Bildrätsel zu lösen.
Eine weitere Variante stellte Gunter Ollmann, Forscher von IBMs Abteilung Internet Security Systems, Ende Februar vor. Kurz nach dem Start von Captchas bei Webmail-Services hätten Angreifer normale Internetznutzer zum Lösen der Bildrätsel ausgenutzt. Willige Rätsellöser seien mit Gratispornografie angelockt worden.
"Zur Zeit sind Captcha-Mechanismen ganz brauchbar", meint Microsofts Sicherheitssprecher Gerhard Göschl. Allerdings erscheine es sinnvoll, an Verbesserungen zu arbeiten und sie nicht als alleinigen Schutz zu nutzen. "Über kurz oder lang wird es zusätzliche Mechanismen brauchen."
IBMs Ollmann findet härtere Worte: "Captchas waren eine gute Idee, aber in der heutigen profitorientierten Angriffsumgebung sind sie als Schutzmechanismus weitgehend irrelevant geworden." Geeignet seien sie allerdings als Abwehr gegen "Scriptkiddies" - also Amateure, die mit vorgefertigten, einfachen Werkzeugen angreifen.
Lesermeinungen zum Artikel