Categories: Sicherheit

Hotmail-Captcha per Bot in sechs Sekunden ausgehebelt

Laut Sicherheitsexperten der Websense Security Labs können Spammer mit verbesserten Bots Captcha-Tests von Webmail-Systemen schneller umgehen als bisher. Nur noch sechs Sekunden soll ein neuer, als „aggressiv und unmittelbar“ bezeichneter Angriffsversuch auf den Hotmail-Captcha benötigen, um den Schutz gegen die automatisierte Accountanmeldungen zu umgehen.

Ein Captcha-Test ist ein Bild aus verzerrten Zeichen, die identifiziert werden müssen. Derartige Bildrätsel sollen bei vielen Webmail-Services erreichen, dass nur reale Nutzer Accounts registrieren. Spammer aber haben Interesse an der Nutzung von Webmail-Accounts, die kostenlos, kaum zu verfolgen und nur selten auf Spam-Blacklists zu finden sind. Daher setzen sie inzwischen Registrierungs-Bots ein, die auch Captcha-Mechanismen auszutricksen versuchen.

Aktuell ist Hotmail im Visier von Cyberkriminellen, welche die Geschwindigkeit ihres Angriffssystems verbessern. Jeder Versuch zum Umgehen des Captcha-Mechanismus dauert mit den neuen Bots Websense zufolge kürzer als bei bisherigen Angriffen dieser Art – im Mittel sechs Sekunden. Die Erfolgsrate sei mit 10 bis 15 Prozent etwas geringer als bei einer Angriffswelle auf den Google-Mail-Captcha im Februar.

Captchas sind durch jüngste Angriffe in den Blickpunkt und auch in die Kritik geraten. Dass das automatische Austricksen von Captcha-Tests signifikant zum Spam-Problem beitrage, hatte Google-Sicherheitsexperte Brad Taylor jedoch Mitte März gegenüber der New York Times angezweifelt. Vielmehr kämen niedrig bezahlte Arbeitskräfte in Dritte-Welt-Ländern zum Einsatz, um die Bildrätsel zu lösen.

Eine weitere Variante stellte Gunter Ollmann, Forscher von IBMs Abteilung Internet Security Systems, Ende Februar vor. Kurz nach dem Start von Captchas bei Webmail-Services hätten Angreifer normale Internetznutzer zum Lösen der Bildrätsel ausgenutzt. Willige Rätsellöser seien mit Gratispornografie angelockt worden.

„Zur Zeit sind Captcha-Mechanismen ganz brauchbar“, meint Microsofts Sicherheitssprecher Gerhard Göschl. Allerdings erscheine es sinnvoll, an Verbesserungen zu arbeiten und sie nicht als alleinigen Schutz zu nutzen. „Über kurz oder lang wird es zusätzliche Mechanismen brauchen.“

IBMs Ollmann findet härtere Worte: „Captchas waren eine gute Idee, aber in der heutigen profitorientierten Angriffsumgebung sind sie als Schutzmechanismus weitgehend irrelevant geworden.“ Geeignet seien sie allerdings als Abwehr gegen „Scriptkiddies“ – also Amateure, die mit vorgefertigten, einfachen Werkzeugen angreifen.

ZDNet.de Redaktion

Recent Posts

Windows 10: Microsoft verteilt neues Outlook als „Zwangsupdate“Windows 10: Microsoft verteilt neues Outlook als „Zwangsupdate“

Windows 10: Microsoft verteilt neues Outlook als „Zwangsupdate“

Die Installation der App erfolgt spätestens mit dem Februar-Patchday. Die neue Outlook-App ersetzt derzeit lediglich…

3 Minuten ago
MicroStrategy schließt Partnerschaft mit StackitMicroStrategy schließt Partnerschaft mit Stackit

MicroStrategy schließt Partnerschaft mit Stackit

Das US-amerikanische Softwarehaus nutzt die Infrastruktur des deutschen Hyperscalers, um seinen Kunden eine datensouveräne Cloud…

1 Stunde ago
Das sind die beliebtesten Top Level Domains DeutschlandsDas sind die beliebtesten Top Level Domains Deutschlands

Das sind die beliebtesten Top Level Domains Deutschlands

Das jährliche Ionos-Ranking zeigt eine Reihe von Verschiebungen. Zudem ist im Zuge der Cannabis-Freigabe ein…

1 Stunde ago

Trend Micro und Intel optimieren Erkennung von Ransomware

Eine neue Sicherheitslösung kombiniert Technologien beider Unternehmen. Ziel ist eine bessere Unterscheidung von legitimen und…

3 Stunden ago

Digitaler Diebstahlschutz für E-Bike-Akkus

Per App soll sich die Akku-Nutzung sperren lassen. Wird der Akku trotzdem gestohlen, kann dessen…

24 Stunden ago

So verbreitet ist Open Source in der KI-Entwicklung

IBM-Studie: In vier von fünf Unternehmen stützt sich mindestens ein Viertel der KI-Lösungen auf Open-Source-Technologien.

1 Tag ago