Trend Micro und Panda Software berichten von einem Trojaner, der Anwender dazu bringt, Captchas (Completely Automated Public Turing Test to Tell Computers and Humans Apart) für ihn zu erkennen. Damit missbraucht der RompeCaptchas.A, Captchar oder Captcha Breaker genannte Trojaner seine Opfer quasi als lebende Texterkennung und kann auf eigene ausgefeilte rechenintensive OCR-Routinen verzichten. Die vom Anwender eingegebenen Zeichenketten sendet der Trojaner an einen Server, der im konkreten Fall automatisiert Yahoo-Mail-Konten für Spamming-Zwecke anlegt. Die auf Yahoo zum Schutz dargestellten Captchas leitet der Server wiederrum an den Trojaner weiter, der dem Anwender die Captchas präsentiert.
(http://www.heise.de/bilder/98097/0/0)
Das Captchas stammt eigentlich von Yahoo und wurde nur an den Anwender weitergereicht.
Damit der Missbrauch nicht auffällt, gaukeln die Programmierer von Captcha Breaker dem Benutzer ein Striptease-Programm vor, bei dem zum Ablegen jedes weiteren Kleidungstücks die Eingabe des gerade angezeigten Captchas notwenig ist – was eigentlich von Yahoo stammt.
(http://www.heise.de/bilder/98097/1/0)
Je mehr Captchas man eingibt, desto mehr Haut ist zu sehen.
Grundsätzlich ließe sich der Trojaner für alle Webseiten einsetzen, bei den eine Autorisierung mittels Captchas erforderlich ist. Wie der Schädling auf die PCs von Anwender gelangt, schreiben weder Trend Micro nicht Panda, sehr wahrscheinlich findet er seinen Weg auf den Rechner aber als Anhang von E-Mails. Hinweise und Werkzeuge zum sicheren Umgang mit E-Mails und zum Schutz vor Trojanern und Viren bieten die Antiviren-Seiten von heise Security.
Siehe dazu auch:
* CAPTCHA Wish Your Girlfriend Was Hot Like Me?, Blogeintrag von Trend Micro
* A new way of social engineering, Blogeintrag von Panda
Quelle und Links : http://www.heise.de/security/news/meldung/98097/Trojaner-laesst-Anwender-Captchas-lesen
Googles Suche nach Alternativen, eine Captcha-Abfrage in Webformularen unterzubringen, hat eine neue Methoden hervorgebracht: Video-Captchas könnten zukünftig die schwer entzifferbaren Wörter ersetzen.
In ersten Tests von Kurt Alfred Kluever aus dem Google-Forschungsteam und Richard Zanibbi vom Rochester Institute of Technology wurden dabei recht vielversprechende Ergebnisse erzielt. In Rund 90 Prozent der Fälle konnten menschliche Nutzer die korrekten Eingaben machen.
(http://screenshots.winfuture.de/Googles-YouTube-Captcha-1247503911.jpg)
Simulierte Angriffe waren zu 13 Prozent erfolgreich, berichten die beiden in ihrem Forschungspapier. Für eine Methode in einem so frühen Entwicklungsstadium sind das recht gute Werte. Bei der Befragung der Probanden gaben diese dem Video-Captcha auch den Vorzug vor der Entzifferung verfremdeter Buchstaben.
Das Captcha-System von Kluever und Zanibbi ist an YouTube gekoppelt. Von der Plattform werden jeweils kurze Video-Clips bezogen. Der Nutzer soll dann in einem Eingabefeld einige Begriffe eintragen, die er mit dem Video assoziiert. Diese werden anschließend mit dem Tagging-System bei YouTube abgeglichen. Stimmen die Begriffe überein oder sind zumindest inhaltlich ähnlich, ist der Test bestanden.
Quelle : http://winfuture.de (http://winfuture.de)
Animierte Captchas sollen die gute Lesbarkeit für den Menschen erhalten, Spambots und automatische Skripte dennoch draußenhalten. "Completely Automated Public Turing tests to tell Computers and Humans Apart" (CAPTCHAs) soll von Spammern und anderen Kriminellen benutzte Tools unwirksam machen, die automatische Tätigkeiten wie das Anlegen von Konten in Foren und bei Maildiensten erledigen.
Der Anbieter NuCaptcha versucht dies durch animierte Captchas zu erreichen. Grundsätzlich sind animierte Captchas zwar nicht neu, bislang bestand die Animation jedoch meist darin, eine Zeichenfolge etwa durch einen springenden Ball oder andere Maßnahmen teilweise zu verdecken oder sich bewegende Gitterlinien einzublenden.
NuCaptcha geht einen anderen Weg und animiert die Zeichenfolge, vor einem sich ebenfalls bewegenden Hintergrund nebst anderer Elemente in einem Flash-Video. Damit muss die zu erkennende Zeichenfolge nach Meinung der Entwickler nicht mehr so stark verzerrt werden, sodass die Erkennung für den Menschen leichter fällt, Bots aufgrund zu vieler Kanten im Bild trotzdem Probleme mit der Erkennung haben. Gerade zu stark verschwurbelte Captchas halten oft mehr Anwender als Bots von einer erfolgreichen Anmeldung ab.
(http://www.heise.de/imgs/18/5/3/8/3/1/5/311b1a76dd17b29f.png)
Ob NuCaptcha mit seinem Ansatz Erfolg haben wird, muss sich zeigen. In den aktuellen Demos ist die zu erkennende Zeichenfolge immer rot eingefärbt. Mit Filtern ließen sich alle anderen Elemente ausblenden, um die anschließende OCR-Erkennung zu vereinfachen. Mit mehreren aufeinanderfolgenden Screenshots ließe sich schließlich der richtige Bereich ausmachen.
NuCaptcha verspricht auch, die mittlerweile gesichteten Captcha-Breaking-Dienstleister, bei denen Menschen für Spammer Zerrbilder am Fließband identifizieren, ausbremsen zu können. Mit speziellen Algorithmen will man in der Lage sein, zu erkennen, ob es sich um Antworten von einem menschlichem Dienstleister handelt und gegebenenfalls die Animation verlangsamen. Professionelle Captcha-Breaker sollen im Schnitt 4 Sekunden für die Erkennung benötigen. NuCaptcha soll das auf 15 Sekunden hinauszögern können, sodass es unrentabel werden soll.
NuCaptcha ist bislang als kostenloser Dienst verfügbar, der sich über ein API in eigene PHP- und .Net-Anwendungen einbinden lässt. Für WordPress steht sogar schon ein eigenes Plug-in bereit. NuCaptcha setzt zwar auf Flash, soll aber auch auf Plattformen laufen – dort dann über animierte GIFs und JavaScript.
Quelle : www.heise.de
Die überwiegende Mehrheit der textbasierten Anti-Spam-Tests sind leicht zu umgehen, fanden Sicherheits-Forscher der Stanford University heraus. Sie knackten die so genannten Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) von bekannten Webseiten.
Solche Sicherheitsabfragen werden seit einigen Jahren verwendet, um zwischen Mensch und Bot zu unterscheiden. Neben Textbasierten Techniken gibt es noch einige andere Ansätze wie Katzenbilder, Audio-Clips oder Rechenpuzzles, die von Spam-Bots automatisierte Anmeldungen auf Webseiten verhindern und so vor Missbrauch schützen sollen.
(http://www.heise.de/imgs/18/7/3/1/8/7/3/e84728f1ea37470b.png)
Das Stanford-Team untersuchte in seiner Forschungsarbeit "Text-based CAPTCHA Strengths and Weaknesses (http://cdn.ly.tl/publications/text-based-captcha-strengths-and-weaknesses.pdf)", ob das Knacken der Captcha-Abfragen vollständig automatisierbar ist. Mit dem selbstentwickelten Tool "Decaptcha" tricksten sie 13 von 15 bekannten Captcha-Webseiten aus. Getestet haben sie unter anderem die Abfragen von Google, eBay und Wikipedia. Lediglich Googles Captcha und Recaptcha konnten den Angriffsversuchen standhalten.
Eine höhere Erkennungsrate erzielten die Forscher, indem sie gezielt eingebrachte Bild-Hintergrundstörungen entfernten und Zeichenfolgen in einzelne Zeichen trennten. So erreichten sie eine Erkennungsrate von 66 Prozent bei Visas Authorize.net. eBays Captcha konnte in 43 Prozent der Fälle umgangen werden. Weniger erfolgreiche, aber noch brauchbare Ergebnisse erzielten sie bei Wikipedia, Digg und CNN.
Die Forscher machen auch Vorschläge zur besseren Erzeugung von Captchas. Demnach sollte die Länge der Texte variabel sein und die Schriftart und Größe zufällig. Zusätzlich erwähnen die Forscher die Verfahren, welche nur dem Nutzer das Erkennen der Zeichen erschweren, aber keine Hürde für automatisierte Attacken darstellen. Gegenüber heise Security verglichen die Forscher die Captchas mit Kryptographie: Seien sie einmal gebrochen, müssen sie durch ein neues ersetzt werden.
Quelle : www.heise.de