Mededeling

Collapse
No announcement yet.

Russische hackers kraken captcha-beveiliging Yahoo!

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • Russische hackers kraken captcha-beveiliging Yahoo!

    Een Russische beveiligingsonderzoeker beweert de CAPTCHA-beveiliging van Yahoo! te hebben gekraakt, die het automatisch aanmaken van e-mailaccounts door spammers moet voorkomen. De onderzoeker, die zichzelf "John Wane" noemt, zegt dat zijn software met een 35% nauwkeurigheid de CAPTCHA's kan oplossen.

    "Het is niet nodig om een hoge nauwkeurigheid te halen als het gaat om de ontwikkeling van geautomatiseerde herkenningssoftware. Een nauwkeurigheid van 15% is voldoende als de aanvaller 100.000 pogingen per dag kan doen, als we daarbij de prijs van niet geautomatiseerde herkenning, 1 cent per CAPTCHA, in het achterhoofd houden."

    De onderzoeker zou Yahoo! hebben ingelicht, maar die reageerde niet, zo gaat "Wane" verder. De intergigant laat echter weten dat op de hoogte van aanvallen op haar CAPTCHA-beveiliging is, en dat het die continu verbetert. Spambestrijders noemen het ironisch dat herkenningssoftware voor afbeeldingen, ontwikkeld om spam te bestrijden, mogelijk straks door spammers wordt ingezet om meer spam te veroorzaken.
    security.nl


  • #2
    Spammers kraken CAPTCHA-beveiliging Hotmail

    Spammers zijn erin geslaagd om de CAPTCHA-beveiliging van Hotmail te kraken, en inmiddels zijn er talloze accounts door spambots aangemaakt. De functie van de CAPTCHA is juist dat spammers niet automatisch accounts aan kunnen maken. Volgens Websense heeft het kraken van de Windows Live Mail beveiliging drie voordelen. Ten eerste wordt het Microsoft domein niet snel geblacklist. Ten tweede is het aanmelden gratis en onbeperkt, en ten derde is het lastig om de spammers te traceren, aangezien miljoenen mensen de dienst gebruiken.

    De spambots zouden in een derde van alle gevallen succesvol de CAPTCHA weten te kraken. Niet alleen zijn de accounts ideaal voor het versturen van spam, ze zullen mogelijk ook worden ingezet voor het uitvoeren van social engineering aanvallen, zo voorspelt de beveiliger. Onlangs slaagden Russische hackers om de CAPTCHA-beveiliging van Yahoo! te kraken.

    security.nl

    Comment


    • #3
      Ook Captcha GMail niet veilig

      Nadat spammers er eerder al in waren geslaagd om de captcha van Windows Live Hotmail te kraken, moet nu Gmail er aan geloven.

      Security-onderzoeker Sumeet Prasad schrijft op het Threat Blog van Websense dat spammers inmiddels bots inzetten die in staat zijn om zich aan te melden voor een Gmail-adres. Dergelijke automatisch verkregen adressen kunnen vervolgens worden gebruikt om spamruns uit te voeren.

      De aangemaakte adressen stellen de cybercriminelen ook in staat om op andere wijze misbruik te maken van de infrastructuur van Google. Een Gmail-adres kan immers toegang geven tot verschillende andere diensten van de zoekgigant.

      Recent ontdekte Websense ook al dat de captcha-beveiliging van Windows Live Hotmail was gebroken. De spammers slaagden er in 30 tot 35 procent van de gevallen in om de door Windows Live gegenereerde captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) te kraken. Ook de captcha van Yahoo is hoogstwaarschijnlijk niet langer waterdicht.

      Twee hosts
      In vergelijking met het breken van de Hotmail-captcha gebeurt het ontcijferen van de bescherming van Gmail op een geavanceerde manier: in plaats van één bot (zoals bij Hotmail) zetten de spammers twee gecompromitteerde hosts in. Vanwege de variaties in het captcha-plaatje van Gmail kan het gebeuren dat de ene host niet slaagt in het kraken van de code. In dat geval waagt de andere bot een poging. De twee bots gebruiken verschillende methodes om de captcha te ontcijferen. Desondanks ligt het succespercentage volgens Websense nog maar op 20 procent.

      Volgens het security-bedrijf heeft het een aantal voordelen om gebruik te maken van een Gmail-adres voor het versturen van spam. De belangrijkste is dat internetaanbieders niet snel het Gmail-domein op een zwarte lijst zullen plaatsen. Daarnaast is Gmail natuurlijk gratis en is het voor Google moeilijk om tijdig op te treden omdat er dagelijks grote hoeveelheden adressen worden aangemaakt.

      techworld.nl

      Comment


      • #4
        'Captcha's hebben langste tijd gehad'

        Het is zinloos om het veiligheidsniveau van captcha's nog langer te verhogen: beter kunnen ze als kleine drempel worden ingezet tegen primitieve hackers, meent onderzoeker Gunter Ollman.

        ...

        Volgens Ollman waren captcha's op zich slim bedacht, maar hebben ze in de huidige veiligheidsomstandigheden hun relevantie als beschermingstechnologie verloren. "Het verbeteren van de algoritmen om moeilijkere captcha's te maken, is niet de moeite waard. Je kunt ze beter inzetten als kleine hindernissen om onervaren hackers tegen te houden. Commerciële aanvallers houd je er niet mee tegen", aldus Ollman.

        webwereld.nl

        Comment


        • #5
          Gekraakte Gmail-captcha's leiden tot toename spam

          De hoeveelheid spam die afkomstig is van Gmail-adressen is de afgelopen maand verdubbeld, zo meldt beveiligingsfirma Messagelabs. De Google-dienst was in de maand februari de bron van 2,6 procent van alle spam.


          In januari lag het spamaandeel van Google's webmaildienst nog op 1,3 procent, schrijft Techworld. Volgens Messagelabs, dat onder andere spamfiltersoftware verkoopt, wordt de groei in Gmail-spam veroorzaakt doordat de captcha-beveiliging van de gratis e-maildienst is gekraakt.

          Een maand geleden kwam Websense met een soortgelijke constatering; in augustus 2007 dook een trojan op die Hotmail- en Yahoo-accounts kon aanmaken waarbij de captcha-beveiliging eveneens werd omzeild.

          Hoewel de hackers bij de bij het 'oplossen' van de Gmail-captcha's slechts een succespercentage van twintig procent zouden behalen, kan volgens Messagelabs een geautomatiseerd systeem toch vele duizenden webmailaccounts per dag aanmaken. De geoogste mailadressen zouden vooral gebruikt worden om reclame voor pornosites te maken.

          tweakers.net

          Comment


          • #6
            Google zet CAPTCHA's nog niet bij grofvuil

            De hoeveelheid spam vanaf Google Gmail accounts is in februari verdubbeld, mogelijk omdat hackers de CAPTCHA-beveiliging wisten te kraken, maar de zoekgigant ontkent dat dit de oorzaak is. Volgens Brad Taylor, Google's spam tsaar, is er bewijs dat niet robots maar goedkope arbeidskrachten de CAPTCHA's oplossen. Spammers betalen mensen in derdewereldlanden voor het oplossen van de puzzels.

            "Je kunt duidelijk zien dat het door mensen wordt gedaan. Er zijn patronen in het aanmaken van nepaccounts, zoals wanneer het in bepaalde delen van de wereld nacht is en mensen stoppen met werken." Taylor voegt eraan toe dat software het oplossen van de CAPTCHA's door mensen wel efficiënter heeft gemaakt, maar dat het nog niet volautomatisch gebeurt. Google is er dan ook van overtuigd dat het voor machines nog niet zo makkelijk is om een CAPTCHA op te lossen als voor mensen.

            Het lijkt echter een kwestie van tijd voordat robots het wel alleen kunnen. "Nu hebben spammers nog mensen nodig om de CAPTCHA's van Google op te lossen, maar elke opgeloste puzzel maakt het algoritme van de robots slimmer. Uiteindelijk kunnen ze het zelf doen," besluit Matt Sergeant van MessageLabs.

            security.nl

            Comment

            Sorry, you are not authorized to view this page
            Working...
            X