Használhatatlanok a Captcha-megoldások

Megjelent az XRumer spammerprogram legújabb verziója, amely elvileg képes kijátszani bármely Captcha képrejtvényt. A virtuális világban 500 dollárba kerülő szoftver igazán olcsónak számít, hiszen más alkalmazások esetében nem ritka a több ezer dolláros vételár sem.

A captcha halott?

Az új programverzióról Francois Paget számolt be a McAfee Avert Labs kutatási blogjában. Az elmúlt hónapokban minden eddiginél sikeresebben törik fel a bűnözők a Captcha védelmi megoldásokat. "Körülbelül másfél éve léteznek a piacon olyan alkalmazások, amelyek képesek a képrejtvényeket automatikusan elemezni" - emelte ki Toralv Dirro, a McAfee biztonsági szakértője. Ezeket a szoftvereket a spammerek elsősorban arra használják, hogy a fórumokat elárasszák a kéretlen reklámüzeneteikkel vagy hogy így szerezzék meg webmail-fiókok hozzáféréseit.

Paget az írásában az XMCO partners francia biztonsági konzultációs vállalat adataira hivatkozott, amelyek szerint a Google-Captchák 80 százalékát a bűnözők képesek egy percen belül feltörni. A phpBB nevű alkalmazás esetében ez az arány még magasabb, 97 százalékos és a feltöréshez szükséges idő csupán 3 másodperc. Egy kínai például 500 és 6000 dollár közötti összeget követelt a szakembertől az egyszerűbb és a közepes védelmi szintű Captchák feltörésére alkalmas algoritmusért cserébe. A Google és a Hotmail rendszerét kijátszó megoldások ennél is többe kerülnek. Az orosz XRumer 5 ára csupán 520 dollár, így szinte kihagyhatatlan ajánlatnak tűnhet a rosszfiúk szemében.


Dirro elképzelhetőnek tartotta, hogy hamarosan valóságos technológiai versenyfutás fog kezdődni a Captcha-fejlesztők és a bűnözők között. Ebből viszont szinte csak a fejlődő országokban alkalmazott és a csábításnak engedő szakemberek profitálhatnak. A vietnami vagy a bangladesi árak meglehetősen vonzóak a spammerek számára, 1000 Captcha feltöréséért ugyanis a segítők csupán néhány dollárt kérnek. A Google Mail Captcha-tesztjét februárban törték fel, míg a Hotmail hasonló védelmi rendszerének kijátszásához áprilisban már csak 6 másodpercre volt szükségük az ismeretlen elkövetőknek.