Sfruttamento del lavoro: gli spammer a caccia di ‘craccatori’ in India per aggirare la sicurezza

Secondo i laboratori di ricerca Trend Micro, i criminali informatici si appoggiano a “fabbriche di craccatori umani” situate in India, dove vengono assunte, per pochi euro al giorno, persone bisognose di lavoro con il compito di decifrare i codici di sicurezza CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart). Questi codici sono utilizzati dai siti Web, di solito per determinare se gli utenti che stanno compilando un modulo di registrazione sono esseri umani oppure reti di computer (botnet) programmati generalmente per inviare grandi quantità di spam.

Un valido strumento per bloccare questo genere...

I controlli CAPTCHA si sono sempre dimostrati un valido strumento per bloccare questo genere di attacchi, ma ora si è scoperto che in India sono stati predisposti dei centri dedicati in cui persone bisognose di lavoro vengono sfruttate, per pochi euro al giorno, proprio per violare questi sistemi di sicurezza. Mentre i metodi tradizionali che utilizzano le botnet per violare i controlli erano in genere in grado di ottenere l'accesso agli account nel 30-35% dei casi, questo nuovo sistema che sfrutta individui in carne e ossa raggiunge quasi il 100%. Il risultato è che i criminali informatici possono disporre di un numero crescente di account per condurre le proprie attività dannose.

Uno dei maggiori provider

Trend Micro ha già rilevato che uno dei maggiori provider di indirizzi eMail gratuiti è stato preso di mira e un numero consistente di account è stato violato grazie all’aiuto di questi lavoratori impegnati esclusivamente a violare la protezione CAPTCHA. "L'industria della criminalità informatica non è più il regno di singoli individui, ma di gruppi organizzati con grandi disponibilità di denaro. Utilizzando esseri umani per risolvere il problema dei test CAPTCHA, e pagandoli anche solo 3 o 4 euro al giorno, i criminali informatici possono accedere a milioni di account registrati", ha dichiarato Rik Ferguson di Trend Micro. "Questi account possono quindi essere utilizzati per inviare milioni di messaggi spam allo scopo di infettare gli utenti con una vasta gamma di minacce informatiche, tra cui programmi keylogger destinati a impadronirsi di informazioni personali come i dati bancari o le password." Già in precedenza erano stati inventati altri sistemi per aggirare i codici di sicurezza CAPTCHA, come la creazione di un programma di spogliarello virtuale, un gioco in cui una donna semivestita premia gli utenti togliendosi un indumento se questi digitano il testo visualizzato nell'immagine che appare nel gioco. Le immagini provenivano da siti Web che normalmente bloccano le registrazioni automatiche effettuate da computer “bot”. Grazie a questo sotterfugio, gli spammer entravano in possesso degli account così registrati per poi utilizzarli per scopi illegali come inviare mail-spazzatura.

(29 aprile 2008)

© 2002-2012 Key4biz