Categories: Sicherheit

Hotmail-Captcha per Bot in sechs Sekunden ausgehebelt

Laut Sicherheitsexperten der Websense Security Labs können Spammer mit verbesserten Bots Captcha-Tests von Webmail-Systemen schneller umgehen als bisher. Nur noch sechs Sekunden soll ein neuer, als „aggressiv und unmittelbar“ bezeichneter Angriffsversuch auf den Hotmail-Captcha benötigen, um den Schutz gegen die automatisierte Accountanmeldungen zu umgehen.

Ein Captcha-Test ist ein Bild aus verzerrten Zeichen, die identifiziert werden müssen. Derartige Bildrätsel sollen bei vielen Webmail-Services erreichen, dass nur reale Nutzer Accounts registrieren. Spammer aber haben Interesse an der Nutzung von Webmail-Accounts, die kostenlos, kaum zu verfolgen und nur selten auf Spam-Blacklists zu finden sind. Daher setzen sie inzwischen Registrierungs-Bots ein, die auch Captcha-Mechanismen auszutricksen versuchen.

Aktuell ist Hotmail im Visier von Cyberkriminellen, welche die Geschwindigkeit ihres Angriffssystems verbessern. Jeder Versuch zum Umgehen des Captcha-Mechanismus dauert mit den neuen Bots Websense zufolge kürzer als bei bisherigen Angriffen dieser Art – im Mittel sechs Sekunden. Die Erfolgsrate sei mit 10 bis 15 Prozent etwas geringer als bei einer Angriffswelle auf den Google-Mail-Captcha im Februar.

Captchas sind durch jüngste Angriffe in den Blickpunkt und auch in die Kritik geraten. Dass das automatische Austricksen von Captcha-Tests signifikant zum Spam-Problem beitrage, hatte Google-Sicherheitsexperte Brad Taylor jedoch Mitte März gegenüber der New York Times angezweifelt. Vielmehr kämen niedrig bezahlte Arbeitskräfte in Dritte-Welt-Ländern zum Einsatz, um die Bildrätsel zu lösen.

Eine weitere Variante stellte Gunter Ollmann, Forscher von IBMs Abteilung Internet Security Systems, Ende Februar vor. Kurz nach dem Start von Captchas bei Webmail-Services hätten Angreifer normale Internetznutzer zum Lösen der Bildrätsel ausgenutzt. Willige Rätsellöser seien mit Gratispornografie angelockt worden.

„Zur Zeit sind Captcha-Mechanismen ganz brauchbar“, meint Microsofts Sicherheitssprecher Gerhard Göschl. Allerdings erscheine es sinnvoll, an Verbesserungen zu arbeiten und sie nicht als alleinigen Schutz zu nutzen. „Über kurz oder lang wird es zusätzliche Mechanismen brauchen.“

IBMs Ollmann findet härtere Worte: „Captchas waren eine gute Idee, aber in der heutigen profitorientierten Angriffsumgebung sind sie als Schutzmechanismus weitgehend irrelevant geworden.“ Geeignet seien sie allerdings als Abwehr gegen „Scriptkiddies“ – also Amateure, die mit vorgefertigten, einfachen Werkzeugen angreifen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

13 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

14 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

21 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago