Categories: Sicherheit

500-Euro-Tool knackt Captcha-Bildrätsel

McAfee hat eine neue Version des Spammer-Tools „XRumer“ entdeckt, die neben Captcha-Bildrätseln gängiger Forensoftware auch die von Googles Webmail-Dienst knacken soll. Rund 500 Dollar seien ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangten teils tausende Dollar für einen Algorithmus, der nur Captchas eines Internetangebots lösen könne, erklärt Francois Paget von den McAfee Avert Labs in deren Forschungsblog.

„Programme, um Captchas automatisch zu analysieren, gibt es seit etwa eineinhalb Jahren“, sagt McAfee-Sicherheitsexperte Toralv Dirro. Vor allem Spammer nutzten sie, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern.

Die Erfolgsraten können sich Paget zufolge sehen lassen: Er verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO Partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden. Bei der gängigen Forensoftware phpBB liegt die Erfolgsrate sogar bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.

Algorithmen, die Captchas lösen, lassen sich die Autoren laut Paget regelrecht vergolden. Ein chinesischer Anbieter verlangt beispielsweise 500 bis 6000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Tools, die Google oder Hotmail knacken können, würden noch teurer gehandelt.

Das russische XRumer 5 ist mit 520 Dollar vergleichsweise günstig. Nach Angaben seines Autors kann es nicht nur mit klassichen Captchas umgehen, bei denen eine Zeichenkette erkannt werden muss, sondern knackt auch Auswahltests, bei denen Nutzer aus einer Reihe von Bildern das zu einem Begriff passende wählen muss. Dazu vergleicht das Spammer-Tool die Größe der immer gleichen Bilddateien.

Nach Ansicht von Toralv Dirro wird es künftig zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knackprogrammen kommen. Davon könnten Arbeiter in Billiglohnländern profitieren, die sich auf „Captcha-Dateneingabe“ spezialisiert haben. „Sie erreichen Erfolgsraten von 99 Prozent und mehr“, sagt Dirro. Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, sicherten die Billigkräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten. Preislich seien die Angebote aus Ländern wie Vietnam oder Bangladesch für die Spammer attraktiv, die nur wenige Dollar pro 1000 Captchas forderten.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago