Spammer knacken Microsofts Hotmail-Captchas

Hacker Das Sicherheitsunternehmen WebSense hat darauf hingewiesen, dass es Spammern offenbar gelungen ist, Microsofts überarbeitetes Captcha-System zur Anmeldung bei Windows Live Hotmail zu knacken. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wow, da ist das System ja fast so gut wie mancher Mensch :-)
Ich selbst kann teilweise manche Captchas nicht auf anhieb entziffern so das es manchmal erst beim 3. Versuch klappt, dass das System dies also beim ca. 8ten mal gelingt ist also schon eine recht respektable Leistung die uns allerdins nicht unbedingt zu gute kommen wird :o
 
"Hotmail ist dafür bei Spammern sehr beliebt, weil die Mails wegen der hohen Nutzerzahlen von den meisten Filtern zu einem geringeren Anteil als Werbepost eingestuft werden. " Ich dachte immer, Hotmail wird von vielen Mailservern gar nicht mehr angenommen :D. Also sowohl bei Anmeldungen auf Websites, als auch bei SPAM Listen...
 
"war jeweils rund 25 Sekunden dauern soll." öö falscher Buchstabe :o)
 
@Screenzocker13: Danke.
 
Es scheint nicht nur bei Hotmail zu funktionieren. Wenn ich mir manche vBulletin-Boards angucke, häufen sich seit letzter Zeit ebenfalls die Threads mit fragwürdigem Spam-Inhalt.
 
@F98: Nicht nur bei vBulletin! Auch phpBB und anderen nützt das Captchas rein NULL NIX NADA.
 
@F98: Beim WBB3 is mir des Problem noch in keinem der großen Foren aufgefallen
 
@The Grinch: Darum hab ich in meinem phpBB2 Forum damals einfach einen Mod installiert gehabt, wo ich ein Wort festlegen konnte, dass der User bei Anmeldung eingeben musste. Wirkt zwar amateurhaft, hat aber sämtliche Bots ferngehalten, weil dieser Skript schlicht und einfach eine Ausnahme dargestellt hat. Gefährlich sind Systeme, deren Prinzip millionenfach in gleicher Art und Weise verwendet wird.
 
Toll, scheiss Spamer. Ich hab jetzt tlws. schon extrem Mühe die scheiss Captchas zu identifizieren, jetzt werden die bestimmt noch mehr künstlich unleserlich gemacht.
 
Scheiss Captchas. Es gibt genug (bessere!) Methoden, die sowas fernhalten. Gnahh
 
@darkdongle: Hast du da gute Vorschläge? Ich bin immer am überlegen, wie man so etwas am besten hinkriegen könnte, ohne jetzt neue technische Mittel zu erfordern (wie z.B. Fingerabdruck, etc.).
 
@klika: habe mal ein captcha gesehen, da waren vor einem hintergrundbild (bergenlandschaft / wiese / usw) immer 5 verschiedene kleine bilder ("gelb" / haus / roter handschuh / haufen scheiss halt) und drunter stand ein satz mit dem wort, was man anklicken sollte... sollte doch schon schwieriger sein, es zu knacken...
 
@klika: Ja. Beispielsweise baut man in den Quelltext ein weiteres Formularfeld ein, setzt dass Attribut name auf "Email" (oder irgendetwas, was für die Bots interessant sein könnte) und blendet dieses Feld über CSS aus (Der User sieht es nicht > Der Bot schon). Der Bot fällt drauf rein und denkt, er wäre erfolgreich. Pustkuchen :) Mein Gästebuch wurde bislang verschont und auch von anderen, habe ich nur positives gehört.
 
@klika: Die RapidShare.com Captchas...das war ne tolle Geschichte. Deren einziges effektives Captcha-System bestand darin, dass man 7 Buchstaben sieht und davon 5 (oder 4) Buchstaben ablesen sollte. Auf den Buchstaben saßen entweder Hunde oder Katzen und daran wurden dann die richtigen Captchas identifiziert. Hat natürlich viele genervt -> RS.com hat gelernt und Captchas wieder komplett abgeschafft...
 
@darkdongle: denke mal die bots sind auch nicht blöd und können den quelltext lesen :) denn wenn jmd ein System wirklich knacken will dann schafft er es auch, auch wenns ne weile dauert!
 
@bigbasti87: Natürlich - aber in Verbindung mit anderen (Captcha-Freien!) Methoden kann man schon einiges erziehlen. Ich behaupte mal, für dass Formluar von Hotmail, welches man brauch um such anzumelden, dauert mindestens 2 Minuten. Eine Überprüfung der Zeit (mindestens 2 Minuten) würde in Verbindung mit dem ersten schon erfolgreich sein. Ansonsten, wenn der Bot 2 Minuten wartet, arbeitet der Bot auch nicht sonderlich lukrativ.
 
@darkdongle: Ich hab mal eins gesehen, da waren auf dem Bild Frauen und Männer in unterschiedlichen Posen. Darunter standen die Namen. Unten war dann die Frage "Wie heißt die Frauf auf dem Bild" (auf dem Bild waren dann 2 Männer und eine Frau) Ich denke für ein Computersystem wäre es komplett unmöglich, zwischen Mann und Frau nur an einem Schattenbild zu unterschieden, da es ja z.B. auch Männer mit langen Haaren und Frauen mit kurzen Haaren gibt. Für mich die Ultimtive sichere Methode (Manche werden die Seite kennen - manche auch nicht xxD)
 
Bilder von irgend welchen Gegenständen oder Männern Frauen haben nur einen Nachteil. Sie können nicht durch zufall erzeugt werden. Der BOT muss also nur alle Bilder kennen und dann ist es kinderleicht so etwas zu lösen.
 
@darkdongle: genauso und nicht anders. Denn kein Bot der Welt kann wissen, wie du den css-style nennst, mit dem du einfach ein Formularfeld belegst. Ich selbst hab seit 1 Jahr umgestellt und seitdem meinen Frieden :-). Also an alle Webmaster: leichter gehts nimmer. Wer wissen will, wie das genau geht, soll sich melden. So long...
 
Nur das sogenannte Bots immer passend zu einer Webseite programmiert werden versteht ihr wohl nicht. Man kann ändern was man will wenn jemand einen BOT schreibt dann funktioniert der auch. Ihr müsstet täglich euren Quellcode ändern um vor BOTs sicher zu sein. Das mit den Captchas ist schon eine recht gute Lösung.
 
@sumpfdotter: @darkdongle: Ich verwende ebenfalls u.a. diese Methode mit dem Trap-Feld (Falle). Heißt bei mir nur <input name="name" .../>, dazu ebenfalls noch eine Zeitmethode die das Formular mindestens aufgerufen sein muss. Außerdem muss vorher das Formular auch wirklich aufgerufen worden sein. D.h. mann kann nicht einfach POST-Daten senden. Zusätzlich werden alle Einträge erst nach einer gewissen Zeit freigeschaltet. Dazu noch ein RegExp-Filtersystem, welches automatisch URL's und böse Worte erkennt. Nicht perfekt, aber auch nicht schlecht. Ich sag euch, ich habe no Problems mit Spambots. Aber vielleicht bin ich auch zu unwichtig. Captchas werde ich auf jeden Fall nicht einsetzten, da sie einfach nur nervig sind!
 
@Eistee: Doch mein Freund. Solche Bilder können z.B. per php dynamisch generiert werden. (zitat)"Ihr müsstet täglich euren Quellcode ändern um vor BOTs sicher zu sein."(zitat ende) Auch Quellcode kann man sehr trickreich dynamisch generieren lassen.
 
@DasFragezeichen: Ich hab oft die Katzen nicht finden können. Manchmal konnte ich nur 3 identifizieren und musste den Rest raten
 
Das ist nunmal das Dilemma bei Captchas: Macht man sie zu schwer, kann kein Mensch sie lesen, sind zu leicht, schaffts auch ein Programm. Kann das Problem von MS also gut verstehen.
 
da fand ich bisher die lösung mit den bildern und konstruktiven fragen dazu am besten - vielleicht erinnert sich noch der eine oder andere an die news, wo dieses verfahren beschrieben wird - da gibts n foto und dann ne frage von wegen "auf welchem der neun bilder ist ne kleine weisse katze mit schwarzer schwanzspitze zu sehen?" oder ähnliches, da hat dann n ocr system schon mühe die form einer katze zu identifizieren, egal in welcher position sie fotografiert ist und dann auch noch farbabstufungen zu überprüfen, da vermutlich auf allen 9 bildern irgendwelche kätzchen sind *gg* - muss doch nur auf irgend solch ein system umgestellt werden - gruss yergling
 
Sollte es nicht "Tier-Captchas" von Microsoft geben, die zuverlässiger sind und der Mensch sie einwandfrei erkennen kann, aber nicht Schrifterkennungsprogramme?
 
@David_R: tier captchas wie rs die mal ne zeit lang hatte :D?
 
@Natenjo: Nix gegen Katzen und Hunde :)
 
@Natenjo: Die waren sowas von extrem schwierig zu entziffern und jedes mal wenn man es falsch eingab, musste man wieder 5-10 Minuten warten :-/. Musste teilweise sogar die Bildschirmlupe nehmen und habs nicht mal damit geschafft zu entziffern obs ein Hund oder ein Katze ist:-).
 
@David_R: ASIRRA (http://research.microsoft.com/en-us/um/redmond/projects/asirra/) werden die genannt. Keine Ahnung ob das Projekt schon für den Produktiveinsatz geeignet ist.
 
Die Captchas werden nachwievor am einfachsten überwunden, indem der Spammer sie sich schnappt, bei Linkcrypern beim Downoad den P*rnsüchtigen vor die Nase hält und abtippen lässt, da können die machen was sie wollen...
 
wie schaut das denn mit html bildern aus??

http://alturl.com/1nq

oder sowas?
 
@SexySinner: Es wäre zwar uneffektiv, aber theoretisch könnte man das Bild einfach rendern, einen Screenshot des Bereichs machen und es dann analysieren. Ginge mit Sicherheit auch produktiver. Aber für Hotmail sicher keine Alternative, das wäre schnell umgangen.
 
tai M. soll sein arsch bewegen
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.