image

"CAPTCHA's zijn dood, maar wat moet je dan?"

vrijdag 12 december 2008, 10:36 door Redactie, 10 reacties

Gmail, Hotmail en Yahoo! zijn een speeltuin voor spammers, aangezien de beveiliging die ze op afstand moet houden voor geen meter werkt. De drie gratis e-mailaanbieders zijn verantwoordelijk voor twaalf procent van alle spam dit jaar en waren in september zelfs goed voor 25%. Om de automatisch registratie van e-mailaccounts tegen te gaan, voerde men de CAPTCHA-beveiliging in. Die moest mensen van automatisch bots onderscheiden, het zijn echter mensen die juist het einde van deze beveiligingsmaatregel betekenen.

In januari bleek dat Russische hackers met hun software de CAPTCHA's konden oplossen, hoewel het slagingspercentage laag was. Gedurende het jaar werden de aanvallen op Gmail, Hotmail en Yahoo! door anti-CAPTCHA bots opgevoerd. Veel efficiënter is echter het gebruik van Indiërs en Russen om de puzzels op te lossen. Voor één dollar krijgen spammers 1000 opgeloste CAPTCHA's terug.

Over en uit
De CAPTCHA-krakers zitten niet stil, want inmiddels bieden ze ook complete accounts aan. Zodoende hoeft een spammer verder niets meer te doen en duizend accounts voor tien dollar is een schappelijke prijs. Spammers hebben echter aan één account voldoende, zo ontdekten onderzoekers Pablo Ximenes en Andre dos Santos. Het lukte de twee om de limiet van Gmail te omzeilen, die staat per keer op 500 berichten ingesteld, en tevens de doorstuurfunctie te misbruiken om via de Gmail servers geclassificeerde spamberichten af te leveren. Google’s SMTP servers fungeren daardoor als open SMTP relays.

Beveiligingsonderzoeker Dancho Danchev is duidelijk: "CAPTCHA is dood, de mensen die het moesten herkennen hebben het vermoord door het oplossen ervan te commercialiseren." Hij vraagt dan ook aan internetgebruikers hoeveel oplossingen ze kennen om inkomende spam te detecteren en hoeveel oplossingen voor uitgaande spam men kan noemen. "Voor dat spam arriveert, moet het er eerst uit gaan."

Reacties (10)
12-12-2008, 10:48 door Anoniem
Tja, sommige captcha's zijn dusdanig slecht te lezen dat je het zelf ook 5x moet proberen.
Challenge & response codes bieden mogelijkheden en ook weer zwakheden.

Zolang de spam wereld actief is en blijft, zal het een actie --> reactie zijn.
Men verzint iets nieuws, het wordt gekraakt enz enz.
12-12-2008, 11:42 door toor
Spammen overal ter wereld strafbaar maken, en spammers keihard aanpakken. Het kost de gemeenschap al bakken vol met geld..
12-12-2008, 13:55 door Harold
Waar het aan ligt weet ik niet, maar de captcha van mijn website (www.succesfoto.nl) werkt anders prima. Is goed leesbaar, maar je moet wel even goed lezen wat je moet doen....

Regelmatig heb ik last van heerschappen die een poging doen, maar ze komen toch echt niet verder dan een poging tot aanmelding. Ook mijn forum heb ik totaal geen last met spammers.

Dus mijn conclusie is dan ook: captcha is nog lang niet op zijn eind, maar hoe pas je captcha toe.
12-12-2008, 14:26 door spatieman
@toor.
spammers, maken gebruik van botnetten, EERST de botnetten aanpakken, door oa het verkeer te monitoren.
dan de botnets uit de lucht halen, en dan de beheerders aanpakken..
12-12-2008, 16:08 door toor
Door spatieman@toor.
spammers, maken gebruik van botnetten, EERST de botnetten aanpakken, door oa het verkeer te monitoren.
dan de botnets uit de lucht halen, en dan de beheerders aanpakken..

Als je de beheerders (in mijn ogen spammers) aanpakt, zijn die botnets ook zo weg..
12-12-2008, 18:30 door Anoniem
En dan zijn er nog de duizenden werknemers(china,india,afrika) die de hele dag CAPTCHA's lezen en doorseinen.

Je moet toch ergens jezelf in leven houden als er geen werk is.
12-12-2008, 18:39 door Anoniem
Door HaroldWaar het aan ligt weet ik niet, maar de captcha van mijn website (www.succesfoto.nl) werkt anders prima. Is goed leesbaar, maar je moet wel even goed lezen wat je moet doen....

Regelmatig heb ik last van heerschappen die een poging doen, maar ze komen toch echt niet verder dan een poging tot aanmelding. Ook mijn forum heb ik totaal geen last met spammers.

Dus mijn conclusie is dan ook: captcha is nog lang niet op zijn eind, maar hoe pas je captcha toe.


Hoe moeten Gmail Hotmail en Yahoo hun captcha toepassen dan? Als criminelen russen of indiërs inhuren werkt jouw captcha net zo slecht als de rest....
13-12-2008, 13:11 door Anoniem
1) creatieve capthas (er was oit een hotornot implementatie waar je moets opgeven wlk an de 4 plaatjs een mooie vrouw bevatte)

2) webservices als mollom.com gbruiken

3) crowtasken met moderatie en metamoderatie als /.
15-12-2008, 11:41 door Anoniem
Is het niet handiger om iets vergelijkbaars te doen als met Hashcash? Dat wil zeggen, om een comment te mogen leveren moet je verplicht minimaal 15 seconden wachten voordat je mag commenten. Spammers moeten het hebben van de grote aantallen en wachten maakt hun operatie te duur om nog kosten-effectief te zijn...
03-11-2009, 14:45 door Anoniem
Door toor: Spammen overal ter wereld strafbaar maken, en spammers keihard aanpakken. Het kost de gemeenschap al bakken vol met geld..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.