Googles Captcha-Test geknackt

EnterpriseManagementProjekteSicherheitSoftware-Hersteller

Wie das Sicherheitsunternehmen Websense mitteilte, gelingt es Spammern derzeit oft, E-Mail-Adressen bei Google Mail zu registrieren und diese als Versandadresse für unerwünschte Post zu missbrauchen. Die größte Hürde dafür, das Sicherheitssystem Captcha, stellt offenbar keine effektive Schranke mehr dar.

“E-Mail-Accounts bei Google und anderen großen Free-Mail-Anbietern sind bei Spammern vor allem deshalb sehr beliebt, weil Nachrichten mit diesen Absenderadressen leichter durch Filtersysteme schlüpfen können”, sagte Michael Neumayr, Sprecher von Websense. Demnach ist das gegen Google Mail eingesetzte Verfahren zum Knacken der Captchas deutlich ausgefeilter als jenes, das kürzlich bei ‘Live Mail’ von Microsoft verwendet wurde.

Beim Captcha-Test bekommt der Nutzer eine Art Bilderrätsel angezeigt, das zumeist eine verzerrte Kombination aus Buchstaben und Zahlen enthält. Der Nutzer muss diese zur Verifikation in ein Eingabefeld übertragen. Captchas galten bislang als zuverlässiges Sicherheitstool – obwohl es Hackern bereits einige Male gelungen ist, sie auszuhebeln. “Ist ein großes Potenzial an krimineller Energie vorhanden, so ist es meist nur eine Frage der Zeit, bis das System geknackt wird”, sagte Neumayr.

Bei der jetzt von Hackern verwendeten Methode kommen zwei Rechner aus einem Botnetz zum Einsatz, die jeweils eine andere Methode verwenden, um das Captcha-Rästel zu knacken. “Dabei werden die Grafiken abgegriffen, analysiert und schließlich automatisch gelöst. Die Trefferquote liegt hierbei mittlerweile bei 20 Prozent”, so Neumayr. Die Spammer nutzen dabei offensichtlich einen Hacker-Dienst, der auf das Knacken von Captchas spezialisiert ist. Die Websense-Experten gehen davon aus, dass es sich um dieselbe Gruppe handelt, die auch Live-Mail-Probleme bereitete.

Das Ende des Captcha-Test sieht Neumayr allerdings noch nicht gekommen: “Es stellt sich jedoch die Frage, welche zusätzlichen Sicherheitssysteme die Anbieter von Free-Mail-Accounts bieten, um den Missbrauch zu verhindern.” Schließlich liege es auch im Interesse der E-Mail-Anbieter, ihr System sauber zu halten.