Feltörték a Google Mail CAPTCHA-tesztjét

Egyre gyakrabban érkeznek spam e-mailek a Google Mail rendszeréből. Ennek oka a biztonsági szakemberek szerint, hogy minden bizonnyal kijátszották a szolgáltatás CAPTCHA-tesztjét.

A problémára a Websense számítástechnikai biztonsági cég munkatársai hívták fel a figyelmet néhány nappal ezelőtt a blogjukban. "A Google-nál és más ingyenes e-mail szolgáltatóknál azért szeretik magukat regisztrálni a kéretlen levelek küldői, mert az ezekről a címekről érkező e-mailek gyakrabban átcsúsznak a szűrőkön, vagyis nagyobb az esély, hogy célba érnek" - jelentette ki Michael Neumayr, a Websense szóvivője.

A cég szakértői úgy vélik, hogy a bűnözők a Google Mail CAPTCHA-tesztjének kijátszására egy az eddigieknél jóval kifinomultabb eljárást vetettek be. A mostani megoldás jobb a korábban a Microsoft Live Mail szolgáltatás megtámadásánál használt társánál is. A Completely Automated Public Turing-test to tell Computers and Humans Apart, vagy röviden CAPTCHA-teszt, amelyben képekről betűk és számok olvashatók le, eddig az egyik legbiztonságosabb megoldások egyikének számított a világhálón, mivel így megkülönböztethető volt egymástól az ember és az automata program. A tesztet annak ellenére is biztonságosnak tartották a szakemberek, hogy korábban néhány alkalommal már sikerült feltörni.

"Mivel a bűnözőknek sok idejük, energiájuk van, így csak idő kérdése volt, hogy mikor törik fel a rendszert. A mostani esetben a spammerek egy botnet-hálózat két számítógépét használták, amelyek mindegyike más eljárást használt. A PC-k lementették a grafikákat, elemezték, majd törölték őket. A megoldási esély 20 százalékos. A kéretlen reklámlevelek küldői minden bizonnyal egy CAPTCHA-tesztek feltörésére szakosodott csoport segítségét vették igénybe, valószínűleg ugyanarról a csapatról van szó, amely korábban a Live Mail rendszerének feltörésével is próbálkozott. A kérdés az, hogy az e-mail szolgáltatók milyen új biztonsági megoldásokkal rukkolnak elő, hiszen az ő érdekük is, hogy a rendszereik biztonságosak legyenek. A biztonsági cégeknek pedig lépést kell tartaniuk a bűnözőkkel" - közölte Michael Neumayr.

Érdekesség, hogy a szolgáltatók korábban a képalapú CAPTCHA-tesztekkel próbálkoztak. A Microsoft például tavaly Asirra (Animal Species Image Recognition for Restricting Access) néven projektet is indított egy ilyen biztonsági megoldás kifejlesztésére.