微軟 CAPTCHA 認證系統再遭垃圾郵件攻陷

微軟最新版 CAPTCHA 認證系統再度遭到垃圾郵件滲透，使得微軟捍衛 Live Hotmail 之戰再敗一役。

根據安全公司 Websense 的分析，新演進的垃圾郵件手法成功突破 CAPTCHA(Completely Automated Public Turing test to tell Computers and Human Apart)，使得攻擊招術更上一層樓。

新的攻擊如同上一波 CAPTCHA 攻擊，是利用傀儡程式控制的 PC 來填寫 Hotmail 註冊認證要求的主要欄位，如使用者名稱、密碼及國家等。Hotmail 呈現的 CAPTCHA 圖形之後會傳到遠端伺服器進行形象解碼，再傳到用戶端，以假冒帳號進行登入。

上個月微軟才變更 CAPTCHA，阻擋了前一波攻擊，不到一個月時間又破功。此類攻擊在 2008 年令微軟頭痛不已。

Websense 分析，這項手法每嘗試 5 到 8 次就會成功一次，即成功機率約為 12%-20%，如果駭客假冒的帳號夠多，收到的「成果」自然提高。每台機器每次破解 CAPTCHA 據說只需 20-25 秒。

由於 Hotmail 網域被反垃圾郵件及過濾服務視為可信賴的郵件來源，因此 CAPTCHA 破解使 Hotmail 被入侵將嚴重削弱垃圾郵件的防禦工程。

本波攻擊的「創新」在於，傀儡電腦與遠端主機使用加密通道來通訊，這使得防禦及偵測更加困難。

微軟對此類攻擊的因應之道是不斷改變 CAPTCHA 的演算法。不過駭客的破解工具往往不久後就能趕上。

「從過往經驗來看，任何系統都可能遭到垃圾郵件攻擊。受到金錢利益驅使，他們的手法也愈來愈高明。」Websense 歐洲威脅中心研究經理 Carl Leonard 指出。

另一項改變是，破解 CAPTCHA 的自動化工具正透過許多服務供應商如 Google 及 Yahoo 廣為散佈。許多假冒網站利用假造的郵件帳號，企圖突破防護部落格帳號的 CAPTCHA。專家曾建議利用新方法來取代 CAPTCHA，像是 3D 圖片就無法被現行技術破解。