Internet & Web 2.0, News

Heere von ein-Dollar-Jobbern und Pornofreunden hebeln Captcha-Schutz aus

Beispiel für ein CAPTCHA ("Spam Schleuder"). Abb.: hw

Beispiel für ein CAPTCHA („Spam Schleuder“). Abb.: hw

Frankfurt/Main, 6.7.2012: Viele Seitenbetreiber im Internet setzen die „CAPTCHA“-Technik ein, um ihre Foren von Vigara-Verkäufern und andere Werbeschleudern frei zu halten. Um Mensch und Werbeplatzier-Maschine zu unterscheiden (CAPTCHA = “Completely Automated Public Turing test to tell Computers and Humans Apart”), müssen die Seitenbesucher zufällig generierte und verzerrte Zeichenkombinationen in ein Feld eintragen, um zum Beispiel in einem Forum Kommentare hinterlassen zu können. Doch diese Mechanismen sind inzwischen für Profi-Spammer viel zu leicht zu überwinden, wie eine Untersuchung der Sicherheitsfirma „Imperva“ ergeben hat. Dabei setzen sie zum Beispiel Billigarbeiter in Entwicklungsländern ein, die Captchas jeweils zu Tausenden lösen und verbesserte Texterkennungssysteme.

„So greifen moderne Angriffswerkzeuge auf optische Zeichenerkennung zurück“, heißt es in einer Imperva-Mitteilung. Da die CAPTCHAs auch für Menschen noch entzifferbar sein müssen, können sie auch nicht beliebig zur Abwehr solcher OCR-Systeme verzerrt werden. „Einige der Tools, die Namen wie PWNtcha oder CAPTCHA Sniper tragen, haben dabei Erfolgsraten von deutlich über 90 Prozent – so lassen sich innerhalb von sehr kurzer Zeit viele Sicherheitstests überwinden.“

Ein bis drei Dollar pro Tausend CAPTCHAs für Billigarbeiter

Ein weiterer Trend sei das Outsourcing in Entwicklungsländer: „Dubiose Firmen verkaufen das Lösen von CAPTCHAS als Dienstleistung – für Preise zwischen einem und drei Dollar pro 1000 gelöste Tests“, so Imperva weiter. „In wirtschaftlich schwierigen Zeiten ist es in armen Ländern kein Problem, genug Jobsuchende für solche Dumpingpreise zu finden“. Daneben würden viele Profi-Spammer als Gegenleistung für gelöste Testkomibinationen kostenlosen Zugang zu Pornoseiten anbieten – den Pornofreunden sei oft gar nicht einmal bewusst, woran sie da mitarbeiten.

Die Angreifer nutzen die hinter den CAPTCHAs offenen Zugänge zum Beispiel, um Datenbanken zu durchsuchen, an sensible Daten zu gelangen, Spam-Werbung zu platzieren oder E-Mail-Konten zu eröffnen. Imperva hat nach eigenen Angaben beispielsweise mehrere solcher Angriffe auf Regierungswebseiten in Brasilien beobachtet, auf denen Sozialversicherungsnummern und Steuerinformationen abrufbar sind. hw