500-Euro-Tool knackt Captcha-Bildrätsel

McAfee hat eine neue Version des Spammer-Tools „XRumer“ entdeckt, die neben Captcha-Bildrätseln gängiger Forensoftware auch die von Googles Webmail-Dienst knacken soll. Rund 500 Dollar seien ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangten teils tausende Dollar für einen Algorithmus, der nur Captchas eines Internetangebots lösen könne, erklärt Francois Paget von den McAfee Avert Labs in deren Forschungsblog.

„Programme, um Captchas automatisch zu analysieren, gibt es seit etwa eineinhalb Jahren“, sagt McAfee-Sicherheitsexperte Toralv Dirro. Vor allem Spammer nutzten sie, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern.

Die Erfolgsraten können sich Paget zufolge sehen lassen: Er verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO Partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden. Bei der gängigen Forensoftware phpBB liegt die Erfolgsrate sogar bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.

Algorithmen, die Captchas lösen, lassen sich die Autoren laut Paget regelrecht vergolden. Ein chinesischer Anbieter verlangt beispielsweise 500 bis 6000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Tools, die Google oder Hotmail knacken können, würden noch teurer gehandelt.

Das russische XRumer 5 ist mit 520 Dollar vergleichsweise günstig. Nach Angaben seines Autors kann es nicht nur mit klassichen Captchas umgehen, bei denen eine Zeichenkette erkannt werden muss, sondern knackt auch Auswahltests, bei denen Nutzer aus einer Reihe von Bildern das zu einem Begriff passende wählen muss. Dazu vergleicht das Spammer-Tool die Größe der immer gleichen Bilddateien.

Nach Ansicht von Toralv Dirro wird es künftig zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knackprogrammen kommen. Davon könnten Arbeiter in Billiglohnländern profitieren, die sich auf „Captcha-Dateneingabe“ spezialisiert haben. „Sie erreichen Erfolgsraten von 99 Prozent und mehr“, sagt Dirro. Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, sicherten die Billigkräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten. Preislich seien die Angebote aus Ländern wie Vietnam oder Bangladesch für die Spammer attraktiv, die nur wenige Dollar pro 1000 Captchas forderten.