CAPTCHA: Attacco a Microsoft Live Hotmail

Websense Security Labs ha scoperto l’avvio di attacchi nei confronti del meccanismo CAPTCHA (acronimo di Completely Automated Public Turing Test to Tell Computers and Humans Apart) utilizzato per impedire la fruizione dei servizi Microsoft Hotmail da parte di sistemi automatizzati (bot) impiegati, ad esempio, dagli spammer.

Dan Hubbard, vice presidente di Websense, società attiva nel campo della sicurezza informatica, ha spiegato che il sistema CAPTCHA di Hotmail può oggi essere violato, di media, in appena sei secondi.

Si chiama CAPTCHA il meccanismo che viene utilizzato in molti siti web per impedire l’iscrizione attraverso sistemi automatizzati e ciò richiedendo l’inserimento, da parte del visitatore, di una serie di caratteri alfanumerici generati in modo casuale e visualizzati in forma grafica.

In un lungo articolo, il ricercatore di Websense Sumeet Prasad fornisce dettagli tecnici di come il bot possa registarsi in modo automatico al servizio Live Hotmail ed utilizzare immediatamente gli account registrati per l’invio di e-mail indesiderate (spam).

Prasad mostra una serie di immagini esaminando le quali si vede come un malware, dopo avere infettato il sistema dell’utente, si appoggi ad Internet Explorer per tentare una serie di iscrizioni a Live Hotmail. Viene quindi avviato l’esame di ogni singolo codice CAPTCHA, ricevuto in formato grafico. La percentuale di successo dell’attacco automatizzato sarebbe sempre pari al 10-15%.

I servizi per la creazione di e-mail gratuite quali Live Hotmail, GMail e Yahoo Mail, si rivelano i bersagli preferiti per gli spammer poiché i domini di Microsoft, Google e Yahoo non sono quasi mai bloccati dagli strumenti antispam.