I laboratori di Websense hanno isolato un software in grado di creare account Gmail casuali e di utilizzarli allo scopo di diffondere messaggi di spam. Il bot in questione è in grado di scavalcare il sistema di verifica degli account basato su CAPTCHA con una percentuale di successo del 20%. La scoperta segue a ruota quanto accaduto con Windows Live Mail e Yahoo Mail.
I CAPTCHA, acronimo di ‘completely automated public Turing test to tell computers and humans apart’, sono stati creati nel 1997 al fine di proteggere determinati servizi, quali caselle postali e forum dallo spam generato dai bot presenti all’interno della rete. Il sistema consiste nel richiedere all’accesso la trascrizione di una sequenza di lettere e numeri opportunamente offuscati, operazione possibile (almeno in teoria) solamente attraverso la mediazione del cervello umano.
Websense evidenzia quattro motivazioni alla base dell’attacco agli account Gmail da parte degli spammer: innanzitutto, creare un account su Google significa aprire l’accesso a un notevole portfolio di servizi, inoltre i domini Google entrano difficilmente nelle blacklist, sono gratuiti e difficilmente rintracciabili tra i milioni di utenti che utilizzano il servizio. Gli account creati potrebbero essere sfruttati per abusare della infrastruttura del motore di ricerca: essi rendono infatti possibile una moltitudine di attacchi poiché le credenziali di uno stesso account possono essere utilizzate per raggiungere diversi servizi offerti da Google.
I bot incriminati cercano di creare il numero maggiore possibile di account Gmail utilizzando due bot host con differenti processi. Il primo host funziona in maniera molto simile a quanto accade con il bot utilizzato per violare gli account Windows Live Mail, estraendo una immagine dalla macchina della vittima sotto forma di file bitmap e cercando di interpretarne il codice. Il secondo host invece spezzetta l’immagine CAPTCHA in segmenti e la spedisce come immagine. Inoltre, se il primo fallisce nel rintracciare il codice, il secondo può utilizzare i dati rintracciati dal primo per completare il lavoro.
All’interno del primo host i ricercatori hanno inoltre scoperto una pagina contenente del testo in russo che invita ad un versamento di 3 dollari e una pagina che sembra essere un test al processo di interpretazione dei CAPTCHA.