吳明宜/編譯
2009/02/17 下午1:10
微軟最新版CAPTCHA認證系統再度遭到垃圾郵件滲透,使得微軟捍衛Live Hotmail之戰再敗一役。
根據安全公司Websense的分析,新演進的垃圾郵件手法成功突破CAPTCHA(Completely Automated Public Turing test to tell Computers and Human Apart),使得攻擊招術更上一層樓。
新的攻擊如同上一波CAPTCHA攻擊,是利用傀儡程式控制的PC來填寫Hotmail註冊認證要求的主要欄位,如使用者名稱、密碼及國家等。Hotmail呈現的CAPTCHA圖形之後會傳到遠端伺服器進行形象解碼,再傳到用戶端,以假冒帳號進行登入。
上個月微軟才變更CAPTCHA,阻擋了前一波攻擊,不到一個月時間又破功。此類攻擊在2008年令微軟頭痛不已。
Websense分析,這項手法每嘗試5到8次就會成功一次,即成功機率約為12%-20%,如果駭客假冒的帳號夠多,收到的「成果」自然提高。每台機器每次破解CAPTCHA據說只需20-25秒。
由於Hotmail網域被反垃圾郵件及過濾服務視為可信賴的郵件來源,因此CAPTCHA破解使Hotmail被入侵將嚴重削弱垃圾郵件的防禦工程。
本波攻擊的「創新」在於,傀儡電腦與遠端主機使用加密通道來通訊,這使得防禦及偵測更加困難。
微軟對此類攻擊的因應之道是不斷改變CAPTCHA的演算法。不過駭客的破解工具往往不久後就能趕上。
「從過往經驗來看,任何系統都可能遭到垃圾郵件攻擊。受到金錢利益驅使,他們的手法也愈來愈高明。」Websense歐洲威脅中心研究經理Carl Leonard指出。
另一項改變是,破解CAPTCHA的自動化工具正透過許多服務供應商如Google及Yahoo廣為散佈。許多假冒網站利用假造的郵件帳號,企圖突破防護部落格帳號的CAPTCHA。專家曾建議利用新方法來取代CAPTCHA,像是3D圖片就無法被現行技術破解。
以上文章來自:網路資訊雜誌
