Los "spammers" asaltan el correo gratuito

13/03/08 12:56:09

LOS "SPAMMERS" ASALTAN EL CORREO GRATUITO

Mercè Molist
Los grandes proveedores de correo gratuito eran, hasta ahora, poco sospechosos de mandar correo basura. Su protección eran los CAPTCHAs: números y letras que sólo un humano puede descifrar cuando crea una nueva cuenta, evitando así que lo hagan robots que enviarían "spam". Pero, según diversas empresas de seguridad, los CAPTCHAs de Hotmail, Yahoo! Mail y Gmail han sido vulnerados.

A mediados de febrero, WebSense Security Labs anunciaba que los "spammers" habían roto el sistema de CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) de Google, ya que se habían detectado robots creando nuevas cuentas en Gmail desde dos servidores interconectados.

Pero algo no cuadraba para el experto en "spam" Justin Mason: uno de los servidores mandaba CAPTCHAs resueltos al otro con un desfase de 40 segundos, el mismo tiempo que tarda un humano en descifrar uno. Esto apuntaría, según Mason, a una "granja de resolvedores de CAPTCHAs": personas que los descifran manualmente, llegando a procesar entre 300 y 500 por hora.

Mason cree que los CAPTCHAs resueltos por humanos servirían para alimentar a un programa inteligente que aprendería de ellos y sería el responsable de los ataques automáticos detectados en Gmail. Esto explica su bajo porcentaje de éxitos, sólo un 20%, porque aún está aprendiendo.

El asalto a Gmail se inscribe en un ataque general a los principales servicios de correo gratuito, cuyos centenares de millones de cuentas hasta ahora casi no figuraban en las listas negras de los filtros "anti-spam". El ataque empezó en enero, cuando expertos rusos anunciaron haber roto, con un 35% de éxitos, los de Yahoo! Mail. En febrero, WebSense denunciaba la caída de los CAPTCHAs de Windows Live Hotmail, el correo gratuito de Microsoft.

Luis Verdejo, de Microsoft, reconoce que "un grupo de investigadores afirma poder hacer que un ordenador descifre nuestra protección en un 30% de los intentos". Pero aclara: "Este no es el único método que utilizamos para luchar contra el "spam". Estamos estudiando qué hay de cierto y cuáles serían las medidas apropiadas. De momento no hemos visto ningún impacto directo".

Según la compañía MessageLabs, en las últimas semanas ha aumentado el correo basura procedente de Gmail, que ha pasado del 1,3% al 2,6% del total que generan los servicios de correo gratuito. Yahoo! Mail, con un 89%, tiene el crecimiento más alto. Esto confirma, según MessageLabs, que los "spammers" ya han automatizado la creación de cuentas en Yahoo!. Ni esta empresa ni Google han querido hacer comentarios al respecto.

11-04-08. Bernardo Quintero, de Hispasec, me envía esta interesante información complementaria:

No se si Justin Mason lo aclara, pero detrás de la "granja de
resolvedores" hay una técnica interesante. En realidad la granja está
formada por personas anónimas de toda internet, que no saben que
están resolviendo CAPTCHAs para uso fraudulento.

Funciona de la siguiente forma:

1) el servidor de los "malos" va a la página web del CAPTCHA (por
ejemplo google), coge ese reto de forma automática y lo presenta
en una página de contenido pornográfico creada por los "malos"

2) la página web de contenido pornográfico pide que los visitantes
resuelvan ese CAPTCHA para poder acceder al contenido (una foto,
etc..), los usuarios resuelven el CAPTCHA de forma manual y obtienen
el contenido, a su vez la solución manual es enviada al servidor de
los "malos"

3) desde el servidor de los "malos" ya pueden utilizar la solución
manual para pasar el CAPTCHA

En una estrategia "hombre-en-medio" aplicada a los CAPTCHAs

¿Ha sido roto el captcha de Gmail?
http://www.vsantivirus.com/11-03-08.htm

Google's CAPTCHA - not entirely broken after all?
http://taint.org/2008/03/05/122732a.html

Google's CAPTCHA busted in recent spammer tactics
http://www.websense.com/securitylabs/blog/blog.php?BlogID=174

Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail
http://www.websense.com/securitylabs/blog/blog.php?BlogID=171

Yahoo! CAPTCHA is broken
http://network-security-research.blogspot.com/2008/01/yahoo-captcha-is-broken.html

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<