La empresa de seguridad en Internet Websense ha estado investigando por un tiempo los sistemas CAPTHA y han descubierto que en último ataque a Microsoft Hotmail se ve un claro salto evolutivo en las herramientas automatizadas utilizadas por los hackers para vulnerar el CAPTCHA. Pero, ¿qué es el CAPTCHA?
Captcha es el acrónimo de "Completely Automated Public Turing test to tell Computers and Humans Apart" (Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Al registrar una cuenta en alguno de los servicios de correo gratuito como Hotmail, Gmail o Yahoo! una imagen con letras y números aparece para evitar que bots programados con intenciones "malévolas" creen de forma automatizada cuentas en dichos servicios que después utilizan como fuente principal de spam. Al ser una imagen la que muestra el sistema en teoría ningún bot podría leerla. Pero eso es solo e teoría.
Google dice que las letras cifradas en formato imagen siguen siendo útles, pero otros muchos difieren en este sentido.
Los pasos utilizados por los hackers para eludir el CAPTCHA son similares a los anteriores. Un bot carga la información que guarda Internet Explorer, observa los nombres utilizados para crear una cuenta hotmail, y de alguna forma rompe la seguridad CAPTCHA (se sospecha que mediante algún lector OCR) creando múltiples cuentas que a continuación son utilizadas para enviar cientos de miles de correos basura.
La gran diferencia de este ataque a Hotmail con respecto a los anteriores ataques conocidos a cuentas tanto de Hotmail como de Gmail es que el ataque es instantáneo y agresivo, ya que vulnera la seguridad en 6 segundos tras los cuales es capaz de enviar millones de mensajes inundado la red de ciber-basura.
Cabe añadir que de utilizar este sistema para la propagación de código malicioso (virus, troyanos, spywares) estaríamos ante un problema de seguridad bastante gordo.
Queridos lectores, os rogamos no utilicen cuentas de correo Hotmail de forma profesional. Están poniendo en grave peligro sus correos electrónicos, y por lo tanto, su privacidad
Fuente Blogs.Zdnet
No hay comentarios:
Publicar un comentario