Как спамеры обходят капчи

[CI-KP]

1. Робот заходит на сайт и пытается сделать защищенное каптчей действие

2. Получив сгенерированную каптчу робот регистрирует ее для распознавания на одном из подшефных порносайтов.

3. На порносайт приходит посетитель и с радостью распознает каптчу, чтобы получить возможность бесплатно увидеть “вареник на весь экран”

4. Робот, получив ответ от порносайта - предоставляет его целевому сайту и таким образом проходит защиту.

5. Следует учесть, что посещаемости порносайта хватает для того, чтобы все шаги с 2-го по 4-й выполнить за 1 - 2 минуты, то есть, робот успевает предоставить распознаный текст до обрыва сессии сервером.

 

Конечно, если Ваш ресурс будут ломать с использованием описаного приема, значит ресурс очень ценен. Так как это дорогой прием :)

(найдено в комменариях к одной статейки)

Источник: vitcom

[Роман]

хитро, молодцы

 

[Vinni]

хитро, молодцы

Hint: надо сохранять время показа капчи в сессии и переставать принимать запросы с кодом уже секунд через 10-15 (или сколько там надо, чтобы ввести 6-8 символов). :smile19:

[Deepthroat]

Не поможет. Дело в том, что сама технология описана немного не правильно. Вот как это происходит на самом деле:

 

1. Пользователь заходит на порносайт и запускается робот

2. Робот создает соединение с сайтом, защищенным капчей и подставляет капчу пользователю порносайта

3. Пользователь вводит символы, которые робот подставляет защищенному сайту

 

Собственно, все отличие в том, что робот не действует по своей инициативе, его запускает посетитель порносайта. Это снимает проблему, описанную Vinni.

[Vinni]

Не поможет. Дело в том, что сама технология описана немного не правильно. Вот как это происходит на самом деле:

 

1. Пользователь заходит на порносайт и запускается робот

2. Робот создает соединение с сайтом, защищенным капчей и подставляет капчу пользователю порносайта

3. Пользователь вводит символы, которые робот подставляет защищенному сайту

 

Собственно, все отличие в том, что робот не действует по своей инициативе, его запускает посетитель порносайта. Это снимает проблему, описанную Vinni.

Увы! :smile2: Тогда надо вмонтировать в картинку еще и сообщение - "Данное изображение предназначено для сайта wwww. Если Вы видите его на другом сайте, знайте - Вас используют спамеры..." :smile1:

[Искендер]

Примеры взлома некоторых слабых CAPTCHA-алгоритмов

 

Примеры взлома некоторых распространенных решений приводятся только в целях наглядного доказательства их уязвимости, чтобы те, кто ими пользуется, поскорее заменили их на более защищенные. Для предотвращения использования опубликованных примеров для взлома и спама от посетителя потребуется сначала самому пройти CAPTCHA-тест.

 

Выбор именно форумных CAPTCHA продиктован тем, что они сильно распространены и будут существовать длительное время. Если сломать уникальную CAPTCHA какого-то отдельного сайта (того же mail.ru, к примеру), может статься, что сайт сменит алгоритм и проделанная работа сразу станет неактуальной.

 

_ttp://www.captcha.ru/breakings/

[Loo]

Самое смешное, что все настолько увлеклись этой технологией, что забыли про банальный спуфинг с реферером. И если надо пульнуть пару миллионов писем, то гораздо проще найти уязвимый сайт, чем ожидать реакций пары миллионов человек.

[Vinni]

 

_ttp://subscribe.ru/archive/inet.safety.spamtest/200802/21100650.html

Бастион под названием CAPTCHA сдает позиции

 

19.02.2008

 

Очередными жертвами взлома системы защиты от автоматической регистрации почтовых аккаунтов CAPTCHA стали почтовые сервисы Windows Live Mail и Gmail.

 

Судя по концептуальному описанию механизма, используемого спамерами для внедрения в данные сервисы, он аналогичен опробованному на Yahoo <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.spamtest.ru/news.html?id=207509088> . На пользовательские ПК скрыто устанавливается программа-исполнитель, которая заходит на нужную страницу Live Mail/Gmail и начинает заполнять форму регистрации почтового аккаунта произвольными данными.

 

Когда дело доходит до теста CAPTCHA, программа пересылает изображение на специальный сервер и получает оттуда его расшифровку. Эксперты, перехватившие подобный сеанс связи <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/urs-molotoff.blogspot.com/2008/02/capcha-google-mail.html> при взломе CAPTCHA на Gmail, установили, что программа-исполнитель "имеет привязку к сайту на русском языке". Механизм расшифровки CAPTCHA пока раскрыть не удалось; его эффективность оценивается примерно в 30-35% (каждый третий результат - положительный).

 

Созданные таким образом почтовые аккаунты активно используются для рассылки спама. Если до февраля спам-фильтры Websense ежедневно блокировали менее 100 аккаунтов Live Mail, то теперь счет идет на тысячи.

 

Использование реальных аккаунтов имеет для спамеров ряд безусловных преимуществ. Во-первых, домены названных почтовых сервисов вряд ли будут занесены в "черные списки". К тому же имена Yahoo, Microsoft и Google обычно внушают доверие получателям электронных писем. Во-вторых, регистрация на этих сервисах бесплатна. И наконец, обнаружить источник спама среди миллионов пользователей сервиса, разбросанных по всему миру, довольно непросто.

 

Источник: Вебпланета <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/webplanet.ru/news/security/2008/02/15/gmail_capcha.html>

 

Источник: WEBSENSE <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.websense.com/securitylabs/blog/blog.php?BlogID=171>

[Krendel]

Механизм расшифровки CAPTCHA пока раскрыть не удалось

 

А удалось :smile5:

[Vinni]

А удалось :smile5:

Ну тогда надо было эти объявления на китайских форумах публиковать - китайцев много