Der Autor des Spammer-Tools "XRumer" hat eine neue Version seiner Software auf den Markt gebracht. Sie soll neben Captcha-Bildrätseln gängiger Foren-Software auch jene von Googles Webmail-Dienst knacken. Rund 500 Dollar sind ein Kampfpreis für die Cyber-Unterwelt, denn andere Anbieter verlangen teils tausende Dollar für einen Algorithmus, der nur Captchas eines Internet-Angebots lösen kann, berichtet Francois Paget von den McAfee Avert Labs in deren Forschungs-Blog. Die Erfolgraten von automatisierten Angriffen haben inzwischen beachtliche Höhen erreicht. Konkurrieren müssen die Tools aber auch mit Kräften aus Billiglohn-Ländern. Sie sollten auch dann noch Erfolg haben, wenn Programme an ihre Grenzen stoßen.
"Programme, um Captchas automatisiert zu analysieren gibt es seit etwa eineinhalb Jahren", meint McAfee-Sicherheitsexperte Toralv Dirro. Sie werden vor allem von Spammern genutzt, um Foren mit ihren Botschaften zu überschwemmen oder Webmail-Accounts für den Spamversand zu sichern. Die Erfolgsraten können sich inzwischen sehen lassen. Paget verweist auf eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO partners, nach der beispielsweise Google-Captchas von Programmen in einer Minute mit 80 Prozent Erfolgswahrscheinlichkeit geknackt werden können. Und sie sind vergleichsweise sicher, denn bei der gängigen Forensoftware phpBB liegt die Erfolgsrate demnach bei 97 Prozent mit einem Zeitaufwand von nur drei Sekunden.
Algorithmen, die Captchas lösen, lassen sich die Autoren regelrecht vergolden. Ein chinesischer Anbieter beispielsweise verlangt laut Paget 500 bis 6.000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Für Tools, die Google oder Hotmail knacken können, dürfte noch mehr fällig sein. Da ist das russische XRumer 5 mit 520 Dollar vergleichsweise günstig. Und es kann laut Autor nicht nur mit klassichen Captchas, wo eine Zeichenkette erkannt werden muss, umgehen. Auch Auswahl-Tests, wo der Nutzer aus einer Reihe von Bildern das einem Begriff entsprechende wählen soll, seien knackbar. Denn es würden immer wieder die gleichen Bilder genutzt, welche die Software aufgrund der Dateigröße erkennen kann. "Wenn solche Schutz-Ansätze verfeinert werden, wird das automatisierter Software aber Probleme bereiten", ist jedoch Dirro überzeugt.
Der McAfee-Experte hält für denkbar, dass es zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knack-Programmen kommt. Davon profitieren würden wohl Arbeiter in Billiglohnländern, die sich auf "Captcha-Dateneingabe" spezialisiert haben. "Sie erreichen Erfolgsraten von 99 Prozent und mehr", sagt Dirro. Während Foren und Webmail-Angebote durch technologische Verbesserungen effektiver vor automatisierten Angriffen geschützt werden könnten, würden die Billig-Kräfte ihren Auftraggebern weiterhin zuverlässig den Zugang zu den Webangeboten sichern können. Preislich sind die Angebote aus Ländern wie Vietnam oder Bangladesh für die Spammer attraktiv, nur wenige Dollar pro 1.000 Captchas werden verlangt. "Ich halte das für ein zukunftssicheres Modell", meint daher Dirro. Noch billiger für die Cyberkriminellen ist allenfalls der Ansatz, Internetsurfer durch Pornobilder zu Gratis-Erfüllungsgehilfen zu machen. (pte/rw)