Microsoft, violato il sistema di autenticazione CAPTCHA
Almeno nel 35% dei casi, stando a quanto sostiene Websense: i laboratori dell’azienda hanno isolato un software in grado di creare centinaia di indirizzi Windows Live validi, aggirandone il citato sistema di verifica. Pur se dettagliato, il documento non spiega appieno come funzioni il sistema di decodifica di lettere e numeri sotto forma di immagini distorte poste a protezione dell’account; si possono quindi ipotizzare due alternative per quanto riguarda la decodifica delle immagini. Quello che è certo è che il malware ritaglia l’immagine di verfica e lo invia a una macchina remota su cui avviene la decodifica che converte l’immagine in testo necessario per completare il processo di registrazione dell’account.
Un primo sistema per ingannare CAPTCHA può basarsi su un software che trasmette l’elemento grafico a un sito Web esterno che promette in cambio immagini pornografiche o musica gratis in cambio della digitazione dei caratteri disegnati; un secondo, ben più sofisticato e costoso, può poggiare su algoritmi euristici per ‘indovinare’ i caratteri sulla base della disposizione dei pixel che li compongono, in maniera simile a quanto fa un software di tipo OCR con il riconoscimento ottico dei caratteri.
Raramente gli indirizzi di posta elettronica creati con i servizi di Microsoft, Yahoo o Google sono bloccati dai filtri antispam, e questo li rende estremamente appetibili. Tra i professionisti della mail-spazzatura è da tempo in piedi un vero e proprio mercato degli account; sta ora ai provider rispondere migliorando le proprie tecniche di difesa e verifica.
Ancora nessun commento.