Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 118 reacties
Bron: The Register

Sinds vorige maand is het HotLan-virus druk bezig honderdduizenden webmailaccounts aan te maken bij Hotmail en Yahoo. De laatste variant van het kwaadaardige programma is ook in staat om Gmail-accounts aan te maken.

Sinds vorige maand heeft de malware ruim vijfhonderdduizend Hotmail-adressen aangemaakt om spam mee te versturen. Microsoft vertrouwt net als Yahoo en Gmail op captcha-beveiliging om het geautomatiseerd registreren van webmailaccounts onmogelijk te maken. De makers van het HotLan-programma zijn er blijkbaar in geslaagd deze beveiliging te kraken.

HotLan laat geïnfecteerde computers een webmailaccount registreren en stuurt het captcha-plaatje naar een centrale server die hem kraakt. De geïnfecteerde computer vult de code vervolgens in het juiste veld in en registreert zo het account. Vervolgens krijgt de besmette pc spammailtjes aangeleverd die via het geregistreerde webmailadres moeten worden verstuurd. Het gaat hier vooral om spamreclame voor farmaceutische producten.

Volgens Viorel Canja, directeur van BitDefender, zijn er inmiddels ruim een half miljoen Hotmail- en bijna vijftigduizend Gmail-accounts geregistreerd door HotLan. Hoewel Gmail pas recent een doelwit vormt voor de malware, is de webmaildienst volgens hem het meest succesvol in de strijd tegen het virus en sluit deze de malafide accounts binnen enkele dagen af.

Moderatie-faq Wijzig weergave

Reacties (118)

Ik zag ooit eens een lezing van iemand over "human computing". Het hield in dat ze de captcha gewoon kopieerden naar een pornowebsite. De gebruiker kon dan porno zien als ze de captcha oplosten, wat iedereen natuurlijk onmiddellijk doet voor wat bloot. De mens lost op die manier de captcha op voor de computer. Beetje de wereld op zijn kop inderdaad :)
Die heb ik ook gezien. Een erg goede lezing.
Link: http://video.google.nl/videoplay?docid=-8246463980976635143

[Reactie gewijzigd door markiemannie op 15 augustus 2007 21:24]

Wat ik niet begrijp, die code verloopt toch binnen een bepaalde tijd? Wil je mij zeggen dat als mijn pc die code doorstuurt naar een server, dat binnen no time al iemand porno wilt kijken en die code even intikt in een tekstveld?
Als je website 10.000den hits per dag haalt, waarom zou je dan niet op termijn aan 500.000 accounts kunnen geraken? Dat lijkt me niet zo slecht. Natuurlijk zullen er mss enkele verlopen, maar dan hoeft de geïnfecteerde pc maar even te refreshen toch?

Of mss nog iets beter: Een bezoeker komt op de website, er wordt een geïnfecteerde pc aangestuurd om een pagina te laden en een captcha te plaatsen. En dan is het probleem van time-outs al helemaal van de baan.
Captcha. je laat een computer uitzoeken of de gene die een account probeert aan te maken een computer of een mens is. dat het extreem handig is om alles te automatiseren is niet minder dan logisch, maar het is ook de rede dat dit soort bots uberhaupt een kans maken.

neem een callcenter en laat ze in een minuut een account aan maken. de waarde van een account en wat er mee gebeurd is dan meer waard, het zal waarschijnlijk ook de kosten van het callcenter wegpoetsen en je hebt geen last meer van bots/spammers, of in ieder geval in zulke kleine maten dat ze niet erg veel meer toe doen.
Ze zouden de teabag 3d evolution captcha moeten gebruiken. Lijkt mij zeer moeilijk om te "kraken". Zie voorbeeld.

http://img388.imageshack.us/img388/2955/captchafm4.png
Speel jij soms barafranca?
Heb ik inderdaad vroeger gespeeld, ben daarom ook opzoek gegaan naar de captcha die zij gebruikte en kwam deze tegen. Natuurlijk is het niet onkraakbaar, maar ik herinner me goed dat de cheats destijds die deze code kraakte ongeveer 7 seconden nodig hadden om één code te kraken. Daarom lijkt mij het stug dat een server veeeeel meer codes binnen een redelijke tijd kan kraken om e-mail adressen aan te maken.
Je kon erop wachten dat de captcha's gekraakt werden. De captcha's die nu gebruikt worden zijn gewoon een verdraaide versie van tekst. Beter zou zijn om over te stappen naar ingewikkeldere tests, zoals bijv. beeldherkenning. Google kan een foto aanbieden, waarop de gebruiker bijv. een object moet herkennen en aangeven. Het zal nog wel een paar jaar duren voordat er geen effectieve captcha's meer te bedenken zijn.
Het probleem daarmee is dat er dan een beperkt aantal foto's zullen zijn. Goed het zouden er 100.000 kunnen zijn maar als al de 'antwoorden' op die foto's gevonden zijn (desnoods met behulp van de 'porno'-techniek eerder beschreven) dan staan de hacker vrij het systeem zonder moeite onbeperkt te misbruimen.

Dit gaat niet bij het Captcha systeem aangezien deze (bijvoorbeeld) 10 ^36 combinaties heeft. (uitgaande van tien symbolen).
Goed, die plaatjes met letters werken dus blijkbaar niet meer. Whats next, een wavje van iemand die letters en cijfers voorleest?
Misschien hebben ze de plaatjes gewoon met de hand overgetyped ...

Op zich vallen de aantallen nog wel mee, plaatje kost ongeveer 3 seconden om in te typen, dus in een uur kan je 1000 accounts aan maken als je de rest door een bot laat doen... , dus in een werkweek 40.000.

Als je hier een chinees voor in huurt ben je nog geen cent per account kwijt aan kosten...

[Reactie gewijzigd door djexplo op 15 augustus 2007 21:04]

Hoezo in/over typen..

Lees deze blog eens van pandasoftware. Het gaat over email bevestiging en captcha omzeiling van een (in dit geval) PHP forum. Het programma heet Xrummer en gaat volledig automatisch te werk.

Vooral het flash filmpje wat erbij zit maakte indruk op mij... klik
Mijn ouders hadden jaren geleden (sowieso meer dan 5 jaar) al een scanner die een A4-tje met tekst kon omzetten naar tekst in een tekstverwerker, in plaats van een plaatje.

Een soortgelijk programma zal waarschijnlijk ook gebruikt worden om de tekst uit een captcha te halen
Wat jij bedoelt, is OCR (Optical Character Recognition) Dat bestaat al een hele tijd (kan me nog wel een opdracht van school herinneren van ongeveer 13 jaar geleden voor de stad Leiden, waarbij we honderden documenten moesten scannen)
De captcha plaatjes zijn juist zo ontworpen dat het niet te ontcijferen is met OCR. (Vandaar de capt-to tell Computers en Humans Apart)
Daarom worden er speciale programma's geschreven voor dit soort spam doeleinden, die de (specifiieke) captcha's wel kan lezen
Dat zou het best goed kunnen zijn, het lijkt mij ook niet dat de beveiliging totaal software matig opgelost wordt.
Captcha decoders bestaan alweer een tijdje. Hier een opsomming van verschillende type captcha's en de bijbehorende decoders:

http://sam.zoy.org/pwntcha/
lijkt me dat die captcha images met een timeout werken, dus jouw optie zal niet werken!
Werkt prima. Het is zelfs nog handiger om 1 plaatje over verschillende sites te verspreiden zodat je A sneller resultaat hebt en B je hetb een veel grotere kans dat je de CAPTCHA gekraakt hebt :). Over time outs moet je je niet druk maken er zijn genoeg rukkers die het wel ff z.s.m. kraken om aan hun trekken te komen ;).

[Reactie gewijzigd door WyriHaximus op 16 augustus 2007 02:43]

Op een guild website gebruiken we nu al een halfjaar met groot succes de meest simpele beveiliging tegen bots, een simpele vraag :Y)
En hoe moet je dan het antwoord op die vraag geven? Als dat met een dropdownbox of radiobutton-lijst moet, dan is dat nog niet echt veilig. Een antwoord typen lijkt me ook niet te doen, dan moet je het precies goed typen (afhankelijk van het type vraag/antwoord natuurlijk); ik neem aan dat je ook wel random een vraag uit een verzameling van vragen zou willen voorschotelen.
Een antwoord typen is héél makkelijk te doen, als je geen vragen stelt als "Wat vind u van het huidige economische klimaat op globaal niveau ten opzichte vorig kwartaal?", maar "Van welk land is Beatrix de koningin?" dan hoef je je echt niet druk te maken dat met het niet goed typt.
De standaard vraag bij Pivot (weblogsoftware) was "Wat zijn de eerste twee letters van het woord spam?" Dat soort dingen zijn eenvoudig op te lossen door mensen, maar niet door bots. Toch schijnt het je een groot deel van je reacties op te kunnen lossen.

Een echte oplossing voor dit probleem zal er nooit komen, denk ik. Wat misschien zou kunnen werken is een wachttijd, bijvoorbeeld van drie dagen. Dat je je dus aanmeld voor Gmail en dat je drie dagen later in kunt loggen. Dan wordt het een stuk minder interessant voor spammers, want in de tussentijd kunnen malafide aanvragen er tussenuit worden gefilterd.
Dan alsnog kan je zowel 'Holland' als 'Nederland' krijgen ;)
Ze is toch echt geen koningin van Holland hoor, maar van Nederland, Holland = 2 provincies, Nederland = een land.
Holland bestaat niet, alleen Noord-Holland en Zuid-Holland en dat zijn provincies ;)
Sorry, maar Princeton denkt daar toch anders over:
S: (n) Netherlands, The Netherlands, Kingdom of The Netherlands, Nederland, Holland (a constitutional monarchy in western Europe on the North Sea; half the country lies below sea level)
zolang iedereen zelf een vraag uitvind is het ok !
hier aan de KULeuven stellen ze de volgende vraag, om achter de contactgegevens van de proffen te komen (email, telefoon etc)
5+5=...

geen drop-down, een sommetje in plain-text,
als je dat niet kan beantwoorden ben je ofwel stiepelzat, ofwel kan je de tekst evenmin lezen omdat je analfabeet bent ;)
Als dit in plain text is, moet het ook wel heeeel makkelijk zijn voor bots, ze moeten er wel op voorbereid zijn natuurlijk, maar als het altijd een sommetje in plain text is kan elke zolderkamer programmeur dit fixen
prop die string in een willekeurige zoekmachine en je krijgt het antwoord.
ik doe het zelfde op mijn zoontjes website , dagelijks anders 10 sex berichten in zijn gastenboek , ik stel nu ook een vraag waar het antwoord zo simpel is , dat iedereen het kan behalve een bot, tot op heden 0,0 berichten meer van bots
die is ook wel slim, maar ik denk dat het aantal 'plaatjes' beperkt zal zijn.
Dus 1000 keer die site handmatig opvragen en je weet hoe de captcha werkt.
Dit bestaat dus al :'). Kijk maar bij hotmail, voor slechtziende mensen enzo :)
wij hebben ook een audio captcha op ons forum
De juiste afbeelding (boompje) kiezen uit een aantal plaatjes (huisje, boompje, beestje) wat voor een computer zeer moeilijk is, of een som laten oplossen waardoor je grammatica toevoegd, wat ook nog steeds veel lastiger is dan cijfers en letters herkennen.
Uhm, een som oplossen is voor een computer niet zo heel moeilijk. Boom staat tot wortel als huis staat tot .... is een stuk lastiger.

offtopic:
fundering
Maar dat is voor sommige mensen (kinderen bijvoorbeeld) niet zo makkelijk op te lossen. Het moet ook nog makkelijk te doen zijn voor de meest mensen.
Als je dat soort dingen niet kan, dan val je onder het Darwin principe hoor. Geen mail voor mensen die niet kunnen denken.
Het gaat niet op het oplossen van de som, het gaat om de grammatica van de som waarmee je de computer probeert te laten struikelen. Mensen zijn (op dit moment) nog steeds veel beter in grammatica, zeker als je heen-en-weer zinnen ("doe daarna", "doe daarvoor") maakt.
Misschien is een flash animatie waarbij de cijfers en letters langzaam rond draaien iets.
En dan ga je je scherm scannen, haal je 't verschil tussen 2 frames op, en dan weet je precies de vormen... Face it: Alles wat de mens ziet is door een computer ook te zien. 't kost alleen n berg programmeertijd...
De makers van het HotLan-programma zijn er blijkbaar in geslaagd deze beveiliging te kraken.
er bestaat een techniek -de naam is me even ontschoten- waarin je ipv van een captcha een vraag krijgt voorgelegd in de trant van: welke kleur heeft een gele citroen, veel moeiljker te kraken dan een captcha
Allemaal leuk en aardig, Maar probeer dat maar eens wanneer je een taal helemaal niet of nauwelijks beheerst. Al helemaal wanneer de vragen wat moeilijker worden. Een code overtypen kan iedereen wel.
En omdat iedereen het kan word het gebruikt. Zodra je iets ingewikkelds gaat doen is de kans dat mensen het niet meer lukt groter. Veel mensen tikken snel een captcha over en gaan verder, als het te lang duurt zoeken ze gewoo verder en vinden het ergens anders ook vast wel, maar dan zonder captcha. En bezoekers missen is not doen ;)
dan typ je een andere landcode achter hotmail / yahoo / gmail...
wanneer je hem niet spreekt wens ik je ook veel succes met het naar waarheid invullen van de andere gegevens, evenals het naar waarheid aangeven de gebruikersvoorwaarden gelezen en begrepen te hebben...
Behalve dat je dan een database met vragen moet hebben. En de spammer kan daartegenover een database met antwoorden zetten.
Wanneer google zijn bestaande database met afbeeldingen en bijbehorende mogelijke tags neemt, (meerdere antwoorden mogelijk dus,) wens ik een spammer veel succes om deze database even over te nemen. Met vragen gaat dit waarschijnlijk idd wel een stuk makkelijker, aangezien dit tekst is en minder ruimte kost.
Een mogelijk nadeel is misschien echter dat er in de afbeeldingendatabase waarschijnlijk ook een paar, zwak uitgedrukt, "minder geschikte" afbeeldingen zitten. Deze zal je er dan dus op een of andere manier uit moeten filteren.
Dit geeft mensen die Gmail gebruiken toch wel weer een goed gevoel dat dit allemaal niet zo makkelijk kan blijven bestaan. Aan de andere kant weet je wel meteen dat ze je bij Google dus beter in de gaten houden.
Wat vindt je dan het ergste?
in de gaten houden ??? - mijn internet provider houd mij ook in de gaten (ze meten) of ik niet te veel bandbreedte verslurp, - en misschien ook wel hoeveel mail ik verstuur, worden dat er van de ene op de andere dag, ineens 1000 per dag, - zullen ze toch eens een kleine vraag deponeren - en/of direct m'n account al dan niet tijdelijk op non-active zetten,

enige wat raar is, dat 't van hen wel wordt geacepteerd en van google niet...

ja google analiseerd waarschijnlijk, mijn mail met een of ander progje, en misschien tellen ze zelfs hoevaak het woord porno in my mail te lezen is - euh so what vertrouwelijke mail verstuur ik versleuteld, of niet, en de overige heej hoe gaat 't met je hond mail mogen ze rustig lezen....
Mooi gedicht.

ja google analiseerd waarschijnlijk,
mijn mail met een of ander progje,
(en) misschien tellen ze zelfs hoevaak het woord porno in my mail te lezen is

Het punt is echter niet of je iets te verbergen hebt. Alles kan en zal tegen je gebruikt worden.

[Reactie gewijzigd door Teddy Rukspin op 16 augustus 2007 00:32]

Het ergste vind ik dat, als een bedrijf eens de moeite doet om vlug spam tegen te gaan, dit door sommige mensen direct wordt gezein als, he, dit bedrijf leest al onze mails. We hebben geen privacy meer :|
Tja het was natuurlijk gewoon een kwestie van tijd. Feit is en bljift natuurlijk dat er nooit een waterdichte beveiliging zal bestaan die eenvoudig is te gebruiken voor massa gebruikers. Geluid en beeld is virtueel en zal uiteindelijk altijd worden 'gecracked'. En aangezien alles via (internet) verbindingen gaan zal er waarschijnlijk ooit nooit een 100% safe systeem zijn...

Jammer jammer jammer, maar ik mag er wel van uit gaan dat Gmail dit al wel had verwacht en al aan een andere oplossing bezig is... 't is wachten op hun volgende manier van beveiligen, maar die zal uiteindelijk ook vast wel op een of andere manier worden omzeild...
Junk mail sent using the malware have largely been used to spamvertise pharmacy sites.
T zou fijn zjin als de wereld de handen in een zou slaan en gewoon dergelijke sites meteen na zo een actie (nadat is bewezen dat er daadwerkelijk links zijn en het niet gewoon door een concurrent/grappemaker is gedaan) offline zouden moeten halen

En gewoon een antivirus programma + firewall op elke PC verplichten }>

[Reactie gewijzigd door Dwars op 15 augustus 2007 21:09]

misschien dat microsoft ook eens iets aan windows kan doen, want hoewel het doodleuk onvermeld blijft in de tweakerartikeltekst, is het wel een ms windows os trojan:
Affected operating systems: Windows
bron: http://www.sophos.com/security/analyses/trojhotlana.html
Microsoft heeft alleen iets gedaan in windows om dit soort dingen te voorkomen...
alleen zijn er tweakers die anderen adviseren die opties weer uit te schakelen omdat ze "zo onhandig werken"
(denkt aan bevestiging starten activex onder msie.. uac bij installeren van zaken.. het dichtgooien van de kernel waar anivirusontwikkelaars tegen zijn.. )
Zou dat ook kunnen komen omdat ze te lui zijn of geen ervaring hebben met *nix based OS's?
Waarschijnlijker omdat er gewoon veel minder (kwetsbare) computers *nix draaien? ;)

Systemen die dat al draaien hebben over het algemeen ook hun beveiliging goed op orde, en het zijn er ook nog eens veeeeeeeel minder ;)
En gewoon een antivirus programma + firewall op elke PC verplichten
Vind ik dus ook maar ik doe er nog een schepje bovenop..

Ik vind dat mensen voor dat ze van het internet gebruik gaan maken een cursus basis computer en internet veiligheid moeten volgen. Gezien je met een beetje kennis 90% van de problemen kan omzeilen.

Je mag ook geen auto rijden zonder rijbewijs waarom wel internet zonder enige kennis van de gevaren? En ja het is wel degelijk te vergelijken voor het zelfde geld had die trojan je bank informatie of identiteit gestolen...
Wat ik nog steeds niet begrijp dat de bedrijven waarvoor reclame wordt gemaakt nou niet eens aangepakt worden door gewoon VISA en andere creditcard maatschappijen deze 'farmaceutische' webwinkels op een zwarte lijst te zetten zodat niet er meer met een creditcard spullen kan kopen. Dan houd de omzet bij dit soort winkels op, kunnen ze geen malifide spam-adverteerders meer inhuren en lost het probleem zich op.
Okee, ik doe even een hele wilde gok...
VISA krijgt per transactie betaalt. Farmaceuten afsluiten betekent minder inkomsten.
Vandaag spam, morgen modchips en overmorgen een doosje lege dvd's.

Het is VISA hun probleem niet en je provider zijn probleem net. Mensen moeten maar zo dom niet zijn om te reageren op SPAM. Als niemand het nog koopt houdt het ook gewoon op.
Dan huur ik toch simpelweg mensen in die spammails laten versturen via botnetwerken van mijn concurrent zijn pharmaceutisch bedrijf?

Komt dat bedrijf in onderzoek en negatief in het nieuws, kosten voor rechtzaken e.d.
Tuurlijk kan dit backfiren, maar zo start je wel een goede heksenjacht.
Leuk deze discussie om allerlei andere technieken te bedenken, maar het probleem met elk vraag antwoord spel is dat elke bot dit kan repliceren op bijvoorbeeld een porno site. Of ik nou een Captcha naar een porno site doorstuur of een vraag, dat maakt weinig uit. Als er interessante sites zijn voor spammers (webmail) dan loont t de moeite om het vraag/antwoord spel op een zeer druk bezochte site (porno) te plaatsen. Men zal dus met iets moeten komen dat niet gekopieerd kan worden en toch een mens van een bot onderscheid.
Het probleem zit hem eigenlijk in het feit dat alles wat een mens verzint om de twee te scheiden, door een andere persoon ge-automatiseerd kan worden om automatisch toegang te krijgen.

Wat ik me afvraag is of een combinatie van eerder genoemde plaatjes methode (klik de vijf plaatjes met *** er op aan.) en misschien het registreren van ip adressen van requesters niet een oplossing voor de problemen kan zijn.

Het is praktisch onmogelijk voor bots om een plaatjesdatabase als die van google bij te houden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True