Ларчик просто открывался: российские студенты в роли

Проведя журналистское расследование, ресурс «Вебпланета» установил недостающее звено в цепочке автоматической регистрации спамерами аккаунтов на почтовых сервисах Интернета. Выяснилось, что расшифровку защитных тестов CAPTCHA производит целая армия желающих подзаработать студентов из России, вербуемых через электронные доски объявлений, онлайн-форумы и веб-сайты по трудоустройству.

Напомним, что недавно в Сети появился целый ряд тревожных публикаций о спамерских программах-автоматах, регистрирующих многочисленные почтовые аккаунты на Yahoo, Windows Live Mail и Gmail в обход CAPTCHA. Было установлено, что предлагаемое в процессе регистрации контрольное изображение программа-исполнитель пересылает на командный сервер и получает оттуда его расшифровку. Как оказалось, для распознавания изображений спамеры привлекают студентов-надомников.

Вот одно из типичных объявлений на русскоязычном форуме: «Работа для студентов. Необходимы люди для распознования картинок, за каждые 1000 картинок платим 5$. По наблюдениям среднее время распознования 1000 картинок — 1 час, т.о. за день упорного труда вы можете заработать 60-70$». Другой «работодатель», предлагая аналогичный род занятий, оговаривает требования к претенденту следующим образом: «Необходимо знание английских букв и владение английской раскладкой на среднем уровне».

Специалисты компании Websense проследили всю цепочку обмена информацией между программой-исполнителем и службами, обрабатывающими запросы на расшифровку нетривиальных тестов CAPTCHA, использующихся на Gmail. Как выяснилось, адреса специализирующихся на «взломе» серверов расположены на одном американском домене, причем ряд этих ресурсов размещает веб-страницу с русскоязычной инструкцией для наемных расшифровщиков CAPTCHA с указанием минимальной оплаты — 3 доллара.

Некоторые предприимчивые наниматели предлагают даже бесплатные программы-оптимизаторы, позволяющие повысить производительность распознавателей CAPTCHA за счет увеличения количества загружаемых окон с картинками.

Включение «ручного» процесса распознавания в механизм автоматической регистрации почтовых аккаунтов, безусловно, сопряжено для спамеров с повышенными расходами. Их финансовые и временные затраты возрастают пропорционально сложности тестов, поскольку сопряжены с переобучением системы «взлома» CAPTCHA, адаптацией механизма автоматической регистрации, сетевыми модификациями. Разумеется, усложнение процедуры регистрации идет вразрез с политикой владельцев массовых сервисов, заинтересованных в расширении клиентской базы, однако из двух зол приходится выбирать меньшее.

В настоящее время на Mail.ru проходит «обкатку» многоступенчатый тест CAPTCHA, предлагающий пользователю при регистрации почтового аккаунта вводить распознаваемые символы с виртуальной клавиатуры. Для воспроизведения элементов изображения в механизм заложены различные системы объектов — греческий алфавит, знаки Зодиака, дорожные знаки. По словам самих разработчиков, введение подобного теста не может полностью исключить лже-регистрации, но способно «сделать их как можно более дорогостоящими», чтобы «бизнес спамеров… стал неэффективным».

Источник: Вебпланета

Источник: Вести.ru