Els “spammers” assalten el correu gratu

Compartir

Els grans proveïdors de correu gratuït eren, fins ara, poc sospitosos d’enviar correu brossa. La seva protecció eren els CAPTCHAs: números i lletres que només un ésser humà pot desxifrar quan crea un compte nou, evitant així que ho facin robots que enviarien "spam". Però, segons diverses empreses de seguretat, els CAPTCHAs de Hotmail, Yahoo! Mail i Gmail han estat vulnerats.


Mercè Molist – A mitjans de febrer, WebSense Security Labs anunciava que els "spammers" havien trencat el sistema de CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) de Google, ja que s’havien detectat robots creant nous comptes a Gmail des de dos servidors interconnectats.

Però quelcom no quadrava per a l’expert en "spam" Justin Mason: un dels servidors enviava CAPTCHAs resolts a l’altre amb un desfasament de 40 segons, el mateix temps que triga un ésser humà en desxifrar-ne un. Això apuntaria, segons Mason, a una "granja de solucionadors de CAPTCHAs": persones que els desxifren manualment, arribant-ne a processar entre 300 i 500 per hora.

Mason creu que els CAPTCHAs resolts per humans servirien per alimentar un programa intel·ligent que aprendria d’ells i seria el responsable dels atacs automàtics detectats a Gmail. Això explica el seu baix percentatge d’èxits, només un 20%, perquè encara està aprenent.

L’assalt a Gmail s’inscriu en un atac general als principals serveis de correu gratuït, els centenars de milions de comptes dels quals fins ara gairebé no figuraven a les llistes negres dels filtres "anti-spam". L’atac va començar al gener, quan experts russos van anunciar haver trencat, amb un 35% d’èxits, els de Yahoo! Mail. Al febrer, WebSense denunciava la caiguda dels CAPTCHAs de Windows Live Hotmail, el correu gratuït de Microsoft.

Luis Verdejo, de Microsoft, reconeix que "un grup d’investigadors afirma poder fer que un ordinador desxifri la nostra protecció en un 30% dels intents". Però aclareix: "Aquest no és l’únic mètode que emprem per lluitar contra el "spam". Estem estudiant què hi ha de veritat i quines serien les mesures apropiades. De moment no hem vist cap impacte directe".

Segons la companyia MessageLabs, en les darreres setmanes ha augmentat el correu brossa procedent de Gmail, que ha passat de l’1,3% al 2,6% del total que generen els serveis de correu gratuït. Yahoo! Mail, amb un 89%, té el creixement més alt. Això confirma, segons MessageLabs, que els "spammers" ja han automatitzat la creació de comptes a Yahoo!. Ni aquesta empresa ni Google han volgut fer comentaris al respecte.

11-04-08. Bernardo Quintero, d’Hispasec, m’envia aquesta interessant informació complementària:

No se si Justin Mason ho aclareix, però darrere de la "granja de solucionadors" hi ha una tècnica interessant. En realitat la granja està formada per persones anònimes de tota internet, que no saben que estan resolent CAPTCHAs per a ús fraudulent.

Funciona de la següent manera:

1) el servidor dels "dolents" va a la pàgina web del CAPTCHA (per exemple google), agafa aquest repte de forma automàtica i el presenta en una pàgina de contingut pornogràfic creada pels "dolents"

2) la pàgina web de contingut pornogràfic demana que els visitants resolguin aquest CAPTCHA per poder accedir al contingut (una foto, etc..), els usuaris resolen el CAPTCHA de forma manual i obtenen el contingut, al seu torn la solució manual és enviada al servidor dels "dolents"

3) des del servidor dels "dolents" ja poden utilitzar la solució manual per passar el CAPTCHA

És una estratègia "home-al-mig" aplicada als CAPTCHAs

¿Ha sido roto el captcha de Gmail?

Google’s CAPTCHA – not entirely broken after all?

Google’s CAPTCHA busted in recent spammer tactics

Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail

Yahoo! CAPTCHA is broken

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Guillem Alsina