Wieder einmal haben es Spammer geschafft die neueste Captcha Version von Microsofts Live Hotmail Dienst zu knacken. Ende 2008 hatte Microsoft die Captcha Identifizierung neu überarbeitet um weitere automatisierte Registrierungen durch Computerprogramme und Bots zu verhindern und gleichzeitig die Benutzerfreundlichkeit zu bewahren. Neueste Beobachtungen zeigen aber das all die reingesteckte Arbeit wohl wieder einmal nur von kurzer Dauer war.

Immer wenn Microsoft Änderungen an den Captcha’s vorgenommen hat, haben Spammer nur kurze Zeit gebraucht um ihre Angriffsmethoden anzupassen und den Code zu knacken. Die Attacken auf die Captcha’s haben dabei an Raffinesse zugenommen. Frühere Angriffe bestanden aus einfachen Template basierten Kommandos, welche von Bots ausgeführt wurden. Inzwischen läuft auch die Kommunikation zwischen den Zombies und den Command & Control Servern der Spammer verschlüsselt ab.

Captcha wieder einmal geknackt

Wie sieht so ein automatisierter Captcha-Einbruch aus?

1. Der Bot installiert sich selbst als ein Dienst auf dem befallenen Rechner und nutzt im Hinterrund den Internet Explorer für den Knackversuch.
2. Die C&C Server liefern die Instruktionen über eine verschlüsselte Verbindung und geben eine Anleitung bzw. vordefinierten Variablen für den Captcha-Versuch.
3. Der Bot auf dem Zombie-Rechner entschlüsselt die Instruktionen und verbindet sich mit der Live Hotmail Webseite und versucht sich zu registrieren.
4. Der Bot versucht nun mit allen mitgelieferten Logindaten einen Account zu erstellen.
5. Das Captcha wird vom Zombie an einem Server weitergeleitet der sich nur auf das Knacken des Captchas spezialisiert hat.
6. Dieser Server liefert das Ergebnis auf verschlüsseltem Wege an den Zombie wo der Bot nun versucht sich auf Live Hotmail zu registrieren.
7. Bei Erfolg wird der C&C Server davon in Kenntnis gesetzt und das Spiel beginnt von vorn.

Zu sagen ist, das diese Methode der Verschlüsselung noch neu ist und die Erfolgsaussichten der Spammer recht gut sind. So sind nur 5 bis 8 Versuche für einen erfolgreichen Abschluss nötig und die Rate ist dementsprechend bei 12% bis 20%. Die Dauer eines Angriffes beträgt und speziell die Übermittlung und Analyze des Capacha’s dauert nur zwischen 20s bis 25s.

(via websense)