Der Autor des russischen Spammer-Tools »X Rumer« hat eine neue Version seiner Software auf den Markt gebracht. Sie soll neben Captcha-Bildrätseln gängiger Foren-Software auch jene von Googles Web-E-Mail-Dienst knacken. Die Software ist für den Spottpreis von rund 500 Dollar zu haben, konkurriert aber mit Billigkräften aus Vietnam und Bangladesch.

Kampfpreise wie bei Aldi und Lidl machen sich offenbar auch unter Malware-Programmierern breit. Statt mehrere 1000 Dollar, wie das »branchenüblich« ist, verlangt der Autor von »X Rumer« ganze 500 Greenbacks.

Captachs werden entweder von Programmen
oder von "Fachleuten" aus Billiglohn-Ländern
aushebelt.

Mit der Software lassen sich Angriffe auf Web-Angebote automatisieren, die mithilfe von Captchas geschützt sind. Bei diesen kleinen Bilderrätseln muss der User eine Buchstabenfolge, die verfremdet dargestellt wird, in ein Web-Formular eingeben.

Auf diese Weise soll sichergestellt werden, dass Menschen und keine Bots auf ein Internet-Angebot zugreifen. Unter anderem Online-Foren und große News-Portale schützen sich mithilfe von Captchas gegen Spam-Versender.

Nach Angaben der Avert Labs von Sicherheitsspezialist McAfee sind aber immer mehr dieser automatisierten Attacken von Erfolg gekrönt. Konkurrieren müssen solche Tools neuerdings mit Arbeitskräften aus Billiglohn-Ländern. Sie geben Buchstabenfolgen von Hand ein und kommen auch dann zum Ziel, wenn Programme versagen.

Auch Google-Captchas werden geknackt

»Programme, die Captchas automatisch analysieren, gibt es seit etwa eineinhalb Jahren«, sagt McAfee-Sicherheitsexperte Toralv Dirro. »Sie werden vor allem von Spammern genutzt, um Foren mit ihren Botschaften zu überschwemmen oder Web-Mail-Accounts für den Spam-Versand zu missbrauchen.«

Die Erfolgsraten können sich inzwischen sehen lassen, wie eine Aufstellung des französischen Security-Consulting-Unternehmens XMCO Partners belegt. Demnach lassen sich beispielsweise Google-Captchas mit 80 Prozent Erfolgswahrscheinlichkeit innerhalb von einer Minute knacken. Bei der Foren-Software »phpBB« liegt die Erfolgsrate sogar bei 97 Prozent, und das bei einem Zeitaufwand von nur drei Sekunden.

Solche Spezial-Tools erzielen mittlerweile beträchtliche Summen auf dem Markt. Ein chinesischer Anbieter etwa verlangt laut Paget 500 bis 6000 Dollar für Algorithmen, die einfache bis mittelschwere Captchas bewältigen. Für Tools, die Google oder Hotmail knacken können, dürften noch höhere Summen fällig sein.

Menschliche Captcha-Knacker sind billig

Angesichts solcher Zahlen ist das russische X Rumer 5 mit 520 Dollar vergleichsweise günstig. Und es wird nach Angaben seines Schöpfers nicht nur mit klassischen Captchas fertig, bei denen eine Zeichenkette erkannt werden muss. Auch Auswahl-Tests, bei denen der Nutzer aus einer Reihe von Bildern das einem Begriff entsprechende wählen soll, seien zu knacken.

Dirro hält es für denkbar, dass es zu einem technologischen Wettrüsten zwischen Captcha-Tools und Knack-Programmen kommt. Davon profitieren würden Arbeiter in Billiglohnländern, die sich auf Captcha-Dateneingabe spezialisiert haben. »Sie erreichen eine Erfolgsrate von 99 Prozent und mehr«, sagt Dirro.

Preislich sind die Angebote aus Ländern wie Vietnam oder Bangladesch für Spammer durchaus attraktiv. Die »Fachleute« verlangen nur wenige Dollar pro 1000 Captchas. »Ich halte das für ein zukunftssicheres Modell«, so Dirro.