Bilderrätsel
Spam-Bot knackt CAPTCHAs bei Live Mail
Ein automatisches Spam-Programm knackt offenbar eine Zugangshürde bei der Anmeldung eines neuen Kontos bei Windows Live Mail von Microsoft, die eigentlich vor genau solchen Angriffen schützen soll.
Wie auch verschiedene andere Web-Mail-Dienste benutzt Windows Live Mail so genannte CAPTCHAs, um bei der Registrierung neuer Mail-Konten zwischen richtigen Menschen und automatisierten Anmelde-Scripten von Spammern zu unterscheiden. Offenbar ist es den Spammern inzwischen gelungen ein Programm zu entwickeln, das diese grafische Hürde zumindest bei jedem dritten Versuch nehmen kann.
Das Sicherheitsunternehmen Websense berichtet über diese als Bot (kurz für "Robot") bezeichnete Software. Sie lädt zunächst das Anmeldeformular von Live Mail und füllt wie ein menschlicher Benutzer die Formularfelder aus, setzt jedoch zufällige Daten ein. Zum Abschließen der Anmeldung gilt es jedoch ein Bild zu interpretieren, das verzerrte Buchstaben und Zahlen enthält. Für Menschen ohne Sehbehinderung meist kein Problem, soll dies die Massenanmeldung durch automatische Programme verhindern.
Das Anmeldeprogramm der Spammer sendet dieses Bild an einen Server, der auf noch ungeklärte Weise das CAPTCHA löst. Dies gelingt in etwa 30 bis 35 Prozent der Fälle, was für die Registrierung einer großen Zahl neuer Mail-Konten eine ausreichende Quote ist. Der Rätsellöser der Spammer könnte die Bilderätsel mit Hilfe optischer Zeichenerkennung knacken oder sie unter falschem Vorwand den menschlichen Benutzern von Botnet-Rechnern vorsetzen.
Die ermittelte Zeichenfolge setzt das Programm dann in das dafür vorgesehene Formularfeld ein und sendet das Formular ab. Auf diese Weise haben Spammer bereits eine größere Zahl neuer Live-Mail-Konten angelegt, die sie nach Angaben von Websense fleißig zum Spam-Versand nutzen. Oft werden solche Mail-Konten nur einmal oder lediglich für ein bis zwei Tage verwendet.
Der Vorteil solcher Web-Mail-Konten für Spammer ist, dass die Domains der Mail-Provider nicht in den Sperrlisten von Spam-Filtern landen - schließlich sollen die legitimen Mails der übrigen Nutzer ihre Empfänger erreichen. Die Dienste von Live Mail, Yahoo Mail und anderen sind zudem kostenlos.
Erst vor ein paar Wochen hatte ein russischer Programmierer, der sich "John Wane" nennt, einen ähnlichen Spam-Bot veröffentlicht, der bei den von Yahoo verwendeten CAPTCHAs eine vergleichbare Erfolgsquote erreichen soll.
