Microsoft Hotmail aangevallen door anti-CAPTCHA bots
Begin februari werd bekend dat spammers erin geslaagd waren de CAPTCHA-beveiliging van Hotmail te kraken en inmiddels worden de anti-CAPTCHA bots op grote schaal ingezet. De bots zijn inmiddels zover ontwikkeld dat ze niet alleen de CAPTCHA's oplossen, maar ook de aangemaakte Hotmail accounts gebruiken om spam te versturen. Hotmail beschikt over 250 miljoen gebruikers, wat het lastig maakt om spammende accounts te achterhalen.
De geïnfecteerde Windows machines die de spammers voor de aanval op Hotmail inzetten krijgen een lijst van namen mee waaronder het e-mailaccout moet worden aangemaakt, zo laat deze analyse zien. Dit gebeurt zonder dat de slachtoffers het door hebben, aangezien Internet Explorer op de achtergrond probeert de accounts aan te maken. De bots zijn in zo'n 15% van de gevallen succesvol en gaan net zo lang door totdat voor alle meegestuurde namen een account is aangemaakt.
Zijn de accounts aangemaakt, dan begint de volgende fase van de aanval, het spammen. De bot logt in op het aangemaakte Hotmail account via de machine van het slachtoffer en genereert tegelijkertijd het te versturen spambericht en de te spammen adressen. Om detectie te voorkomen worden de accounts slechts tijdens bepaalde perioden gebruikt. Ook de CAPTCHA's van Google's Gmail en Yahoo! weet men inmiddels te omzeilen. Volgens Google zijn de bots nog niet zover dat ze het "alleen" kunnen en zouden ze hulp krijgen van mensen.
grondig aangepast.
Misschien wordt het dan toch tijd voor een soort Internet
rijbewijs, waarbij je eerst moet laten blijken dat je een
beetje weet wat de gevaren zijn, en hoe je een PC moet
beveiligen. Want veel mensen zijn volgens mij veel te slecht
opgeleid waardoor al deze botnets maar blijven aangroeien en
bestaan.
weerleggen. Je zou het natuurlijk ook kunnen oplossen, maar daar hoor je
Google niet over. Yahoo! en Microsoft wel. Die zeggen wel dat ze naar
oplossingen zoeken. Overigens gebruik ik geen Hotmail, veel te onveilig.
Gmail idem met een sterretje.
band authenticatie, via een SMS naar een mobiele telefoon of
iets dergelijks.
voornamelijk interessant indien de spammer ook daadwerkelijk
in bulk kan werken.
Het is natuurlijk als vreemd aan te merken dat vanaf 1 IP
tientallen accountaanvragen komen waarbij ongeveer 80% de
mist in gaat met de Captcha's. Volgens mij zou je dit
verkeer ernstig moeten vertragen, 5x een mislukte
registratie vanaf 1 IP? probeer het morgen nog maar eens...
Hetzelfde zouden deze diensten kunnen doen met het gebruik
van de accounts, aangezien het (gratis) diensten zijn zouden
ze kunnen stellen dat per account slechts 2 berichten per 10
minuten mogen worden verzonden.
Het zijn uiteraard een paar hersenspinseltjes maar ik ben
ervan overuigd dat spam uitsluitend aan te pakken is door de
bulk mogelijkheid aan te pakken, ook spam via poort 25
botjes is hier gevoelig voor.
die rijbewijs is er al in de vorm van ECDL.
Trouwens security.nl gebruikt ook CAPTCHA :-s
Om te zien als je geen spambot bent etc etc
Zou je inplaats van een plaatje overtypen geen gewone text
kunnen overtypen dat elke keer verandert als je iets in wilt
posten?!?
dat is voor een gratis dienst niet te doen. Misschien verificatie dmv bewegende
beelden of dergelijks? Of geluid, of alle 3
maakt.
ik wordt weer zwaar overspoelt met hotmail spam :(
@Anoniem 10:45
die rijbewijs is er al in de vorm van ECDL.
Trouwens security.nl gebruikt ook CAPTCHA :-s
Om te zien als je geen spambot bent etc etc
Zou je inplaats van een plaatje overtypen geen gewone text
kunnen overtypen dat elke keer verandert als je iets in wilt
posten?!?
waar in de pagina de tekst staat. Dat is ook het hele ide
achter een CAPTCHA. de bot kan het niet lezen. Wat wel een
andere mogelijkheid is die ik laatst tegenkwam is dat je een
antwoordt op een vraag moet geven. Een logische vraag waar
je menselijk denkvermogen voor nodig hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.