Jak Polacy łamią CAPTCHA

20-02-2009, 21:45

Jeden z Czytelników Dziennika Internautów poinformował o pojawieniu się w polskiej sieci serwisu, który pomaga pokonać stosowane przez Google zabezpieczenia. Komentarza w tej sprawie udzielili współpracujący z DI prawnik i konsultant ds. bezpieczeństwa.

Sporym utrudnieniem dla spamerów chcących zautomatyzować proces zakładania kont pocztowych jest CAPTCHA, czyli funkcja sprawdzająca, czy formularz na stronie WWW wypełnił naprawdę człowiek (ang. Completely Automated Public Turing Test to Tell Computers and Humans Apart). Aby przesłać dane, trzeba poprawnie przepisać treść z wygenerowanego przez skrypt obrazka. W założeniu grafika ta ma być łatwa do odczytania przez człowieka, przez automat - bardzo trudna lub wręcz niemożliwa.

W ubiegłym roku Dziennik Internautów informował o powstaniu pornograficznych stron pomagających spamerom w pokonywaniu tego zabezpieczenia. Podobne rozwiązanie zostało już przeniesione na polski grunt. Jeden z Czytelników Dziennika Internautów napisał:

Zrzut ekranu strony głównej serwisu
fot. DI - Zrzut ekranu strony głównej serwisu
Zauważyłem w Google Adsense reklamę strony www.Ankieta1.pl
o treści "Wypełnij ankietę a dostaniesz 50pln na komórkę".
Sprawa już wygląda podejrzanie. Po wejściu na stronę
http://ankieta1.pl/?id=1# okazuje się, że każde przejście do kolejnego pytania wymaga odczytania CAPTCHA z GOOGLE. Zapewne autorzy tego serwisy wykorzystują w ten sposób nieświadomych internautów do włamywania się do kont GMAIL. Proszę, aby DI sprawdził, kto stoi za tym procederem.
Z pewnością warto będzie zgłosić sprawę na policję.

Wybór operatora numeru telefonu
fot. DI - Wybór operatora numeru telefonu
Dziennik Internautów przyjrzał się dokładnie opisanej stronie. Gdyby nie konieczność odczytywania CAPTCHA, można by ją było uznać za typowe oszustwo w stylu popularnych testów IQ, gdzie aby poznać wynik, trzeba wysłać Premium SMS-a. Informację o cenie zamieszczono, jak zwykle w takich przypadkach, drobnym drukiem na dole strony oraz w regulaminie (10,98 zł brutto, wiadomość o treści "kodankieta" należy wysłać na numer 79880).

Przed wypełnieniem ankiety użytkownik musi podać numer telefonu, który chce doładować. Strona główna serwisu informuje: "jeżeli nie posiadasz telefonu na kartę w zamian możesz zlecić przelew kwoty 50 zł na wybrane przez Ciebie konto". Ankieta ma "ustalić poziom świadomości Polaków na temat działalności Wojska Polskiego", ale nie jest zbyt rozbudowana. Przykładowe pytania zawarte w kwestionariuszu:

  • Kwestionariusz: przykładowe pytanie
    fot. DI - Kwestionariusz: przykładowe pytanie
    Jaki jest Pana/Pani osobisty stosunek do wojska jako instytucji?
  • Czy Pana/Pani zdaniem w Polsce istnieje potrzeba funkcjonowania etatowych Narodowych Sił Rezerwowych?
  • Jaki jest ogólny poziom Pana/Pani wiedzy na temat swojego miejsca i roli w systemie obronności państwa?

Prośba o wysłanie Premium SMS-a
fot. DI - Prośba o wysłanie Premium SMS-a
Po wypełnieniu kwestionariusza użytkownik otrzymuje komunikat: "Aby uniknąć nadużyć, musisz zweryfikować swój numer wysyłając wiadomość SMS". Na stronie brakuje informacji o usługodawcy, można się z nim skontaktować jedynie za pomocą formularza. Teoretycznie. Na wysłaną przez DI wiadomość właściciel strony nie odpowiedział.

Olgierd Rudak - prawnik współpracujący z Dziennikiem Internautów - przypomniał, że ustawa o świadczeniu usług drogą elektroniczną "nakłada obowiązki w zakresie wskazania przedsiębiorcy i jego adresu na stronie (art. 5 ust. 2), pod rygorem grzywny z art. 23 ustawy. Podobne obowiązki spoczywają na przedsiębiorcy, który świadczy usługi na odległość (dodatkowo powinien podać numer NIP - art. 21 ustawy o swobodzie działalności gospodarczej)".

Do czego może się przydać CAPTCHA?

O wypowiedź w tej kwestii Dziennik Internautów poprosił konsultanta ds. bezpieczeństwa Piotra Koniecznego. Potwierdził on nasze podejrzenia, że właściciel strony wykorzystuje technikę tzw. human computingu, aby umożliwić sobie płynne założenie wielu kont pocztowych. "Zapewne chodzi o wykorzystanie usługi GMail do wysyłania spamu - adresy z domeny gmail.com z reguły nie są odfiltrowywane przez administratorów poczty. Z drugiej strony, żeby spamować z GMaila potrzeba wielu kont, ponieważ Google nakłada ograniczenia na liczbę wysyłanych wiadomości na godzinę" - powiedział Konieczny.

Wykluczył on hipotezę, jakoby serwis działał w celu umożliwienia ataku brute force na konta Google. Parę błędnych prób wpisania hasła w GMailu skutkuje pokazaniem CAPTCHA dla kilku kolejnych prób, potem następuje odcięcie od serwisu na godzinę - tego typu zabezpieczenie skutecznie utrudnia atak siłowy.

Konieczny podkreślił, że human computing to nie nowość, nie jest to również jedyny sposób na pokonanie CAPTCHA. Dowiedzieliśmy się od niego, że "w Indiach istnieje kilka firm, które za pomocą specjalnie do tego celu zatrudnionych ludzi (sic!) rozwiązują CAPTCHA w cenie ok. dolara za tysiąc kodów. W internecie krąży również całkiem niezły program do rozwiązywania CAPTCHA (w tym także Googlowych), napisany przez naszych sąsiadów z Ukrainy - widać autorzy serwisu ankieta1 albo na niego jeszcze nie trafili, albo nie potrafią go obsłużyć ;)".

Jako ciekawostkę warto dodać, że Google również stosuje human computing do osiągnięcia wymiernych korzyści. Udostępniona przez tę firmę popularna gra Image Labeler wykorzystuje graczy do wykonywania darmowej pracy na rzecz wyszukiwarki. "Grając, tagują oni zaindeksowane przez Google zdjęcia, co oczywiście przekłada się na lepsze rezultaty wyszukiwania obrazków w usłudze Google Image Search" - wyjaśnił Konieczny.

Co na to prawnik?

Olgierd Rudak, redaktor naczelny czasopisma internetowego Lege Artis, stwierdził: "Bez wątpliwości zakładanie masowych kont pocztowych stanowi naruszenie warunków korzystania z tej usługi, zatem Google Inc. przysługuje ewentualne roszczenie odszkodowawcze względem osoby, która dopuściła się takiego czynu. Zasadniczą sprawą będzie jednak wykazanie poniesionej szkody (jej wartość) przez Google Inc."

Dziennik Internautów zwrócił się do rzecznika prasowego polskiego oddziału Google z pytaniem o ewentualne działania firmy względem opisanej na naszych łamach strony. Nie otrzymaliśmy jeszcze w tej sprawie odpowiedzi.

"Można też się zastanawiać, czy takie działanie nie stanowi czynu nieuczciwej konkurencji" -  powiedział Rudak, zastrzegając jednak, że pełniejszej odpowiedzi można udzielić dopiero po upewnieniu się, że mechanizm służy do zakładania kont pocztowych oraz po sprawdzeniu, jaki jest cel zakładania tych kont.


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
Tematy pokrewne:  

tag wyłudzeniatag Premium SMStag oszustwatag GMailtag CAPTCHA
  
znajdź w serwisie

Brak danych. Sprawdź później :)
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031