Spammers hebben Microsoft weer het nakijken gegeven, nu ook de recent aangepaste CAPTCHA-beveiliging is gekraakt. De aanvallen op Microsoft's CAPTCHA begonnen in 2007 en werden een jaar geleden verder geprofessionaliseerd. De softwaregigant besloot in augustus vorig jaar haar CAPTCHA's aan te passen, maar zonder succes. Weer lukte het bots om automatisch Hotmail accounts aan te maken en daarmee spam te versturen.

Eind 2008 maakte Microsoft de CAPTCHA weer iets moeilijker. Die maatregelen hebben echter gefaald, zegt Websense onderzoeker Sumeet Prasad, die opmerkt dat de spammers er steeds in slagen om de softwaregigant een stap voor te blijven. Volgens Prasad gaat de strategie van de spammers verder dan het registreren van Hotmail accounts, het massaal versturen van spam, het infecteren van andere machines en stelen van informatie. "Hun strategie bestaat ook uit het ontwikkelen van een succesvol bedrijfsmodel dat zich richt op het adverteren van producten en diensten, en het steeds succesvoller weten te benaderen van gebruikers." Spammers vertrouwen daarbij op de reputatie van Microsoft om hun aanvallen uit te voeren.

Bot aanval
Voor het uitvoeren van de aanval worden besmette Windows computers ingezet. De anti-CAPTCHA bot installeert zichzelf op deze machines als een service en gebruikt Internet Explorer om het proces in de achtergrond uit te voeren. Een andere machine stuurt de bots aan en voorziet ze van versleutelde instructies. Het gaat dan om templates voor het aanmaken van een account en de instructie voor het kraken van de CAPTCHA. Een anti-CAPTCHA bot doet hier zo'n 20 seconden over. Ongeveer één op de vijf pogingen om een CAPTCHA te kraken is succesvol. Het is de spammers niet alleen om Hotmail te doen, maar ook diensten als Live Messenger en Live Spaces zijn het doelwit.