Rund 500 Dollar sind ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangen teils Tausende Dollar für einen Algorithmus, der nur Captchas eines Internet-Angebots lösen kann, berichtet Francois Paget von den McAfee Avert Labs in deren Forschungs-Blog. Die Erfolgraten von automatisierten Angriffen haben inzwischen beachtliche Höhen erreicht. Konkurrieren müssen die Tools aber auch mit Kräften aus Billiglohn-Ländern. Sie sollten auch dann noch Erfolg haben, wenn Programme an ihre Grenzen stoßen.

“Programme, um Captchas automatisiert zu analysieren, gibt es seit etwa eineinhalb Jahren”, meint McAfee-Sicherheitsexperte Toralv Dirro. Sie werden vor allem von Spammern genutzt, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern. Die Erfolgsraten können sich inzwischen sehen lassen. Paget verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens Xmco Partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden können. Und sie sind vergleichsweise sicher, denn bei der gängigen Forensoftware ‘phpBB’ liegt die Erfolgsrate demnach bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.

Algorithmen, die Captchas lösen, lassen sich die Autoren regelrecht vergolden. Ein chinesischer Anbieter beispielsweise verlangt laut Paget 500 bis 6000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Für Tools, die Google oder Hotmail knacken können, dürfte noch mehr fällig sein. Da ist das russische ‘XRumer 5’ mit 520 Dollar vergleichsweise günstig. Und es kann laut Autor nicht nur mit klassichen Captchas, wo eine Zeichenkette erkannt werden muss, umgehen. Auch Auswahl-Tests, wo der Nutzer aus einer Reihe von Bildern das einem Begriff entsprechende wählen soll, seien knackbar. Denn es würden immer wieder die gleichen Bilder genutzt, welche die Software aufgrund der Dateigröße erkennen kann. “Wenn solche Schutz-Ansätze verfeinert werden, wird das automatisierter Software aber Probleme bereiten”, ist jedoch Dirro überzeugt.

Der McAfee-Experte hält für denkbar, dass es zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knack-Programmen kommt. Davon profitieren würden wohl Arbeiter in Billiglohnländern, die sich auf “Captcha-Dateneingabe” spezialisiert haben. “Sie erreichen Erfolgsraten von 99 Prozent und mehr”, sagt Dirro. Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, würden die Billig-Kräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten sichern können. Preislich sind die Angebote aus Ländern wie Vietnam oder Bangladesh für die Spammer attraktiv, nur wenige Dollar pro 1000 Captchas werden verlangt. “Ich halte das für ein zukunftssicheres Modell”, meint daher Dirro.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago