"CAPTCHA's zijn dood, maar wat moet je dan?"

Gmail, Hotmail en Yahoo! zijn een speeltuin voor spammers, aangezien de beveiliging die ze op afstand moet houden voor geen meter werkt. De drie gratis e-mailaanbieders zijn verantwoordelijk voor twaalf procent van alle spam dit jaar en waren in september zelfs goed voor 25%. Om de automatisch registratie van e-mailaccounts tegen te gaan, voerde men de CAPTCHA-beveiliging in. Die moest mensen van automatisch bots onderscheiden, het zijn echter mensen die juist het einde van deze beveiligingsmaatregel betekenen.

In januari bleek dat Russische hackers met hun software de CAPTCHA's konden oplossen, hoewel het slagingspercentage laag was. Gedurende het jaar werden de aanvallen op Gmail, Hotmail en Yahoo! door anti-CAPTCHA bots opgevoerd. Veel effici?nter is echter het gebruik van Indi?rs en Russen om de puzzels op te lossen. Voor ??n dollar krijgen spammers 1000 opgeloste CAPTCHA's terug.

Over en uit
De CAPTCHA-krakers zitten niet stil, want inmiddels bieden ze ook complete accounts aan. Zodoende hoeft een spammer verder niets meer te doen en duizend accounts voor tien dollar is een schappelijke prijs. Spammers hebben echter aan ??n account voldoende, zo ontdekten onderzoekers Pablo Ximenes en Andre dos Santos. Het lukte de twee om de limiet van Gmail te omzeilen, die staat per keer op 500 berichten ingesteld, en tevens de doorstuurfunctie te misbruiken om via de Gmail servers geclassificeerde spamberichten af te leveren. Google’s SMTP servers fungeren daardoor als open SMTP relays.

Beveiligingsonderzoeker Dancho Danchev is duidelijk: "CAPTCHA is dood, de mensen die het moesten herkennen hebben het vermoord door het oplossen ervan te commercialiseren." Hij vraagt dan ook aan internetgebruikers hoeveel oplossingen ze kennen om inkomende spam te detecteren en hoeveel oplossingen voor uitgaande spam men kan noemen. "Voor dat spam arriveert, moet het er eerst uit gaan."

Lees verder op