Som internet-bruger bliver man ofte bedt om at indtaste en lettere utydelig rækkefølge af tal og bogstaver når man tilmelder sig som ny bruger på et websted. Dette kaldes også for en CAPTCHA, en forkortelse for »Completely Automated Public Turing test to tell Computers and Humans Apart«. Formålet er at forhindre, at automatiske programmer opretter sig som brugere og begynder at samle e-mail-adresser fra andre brugere, der så kan spammes med bjerge af Viagra-tilbud og bliv-rig-hurtig-tricks.
Spammerne forsøger hele tiden at gøre deres høstrobotter mere avancerede for at snyde menneske-maskine-testen, men nu har de fundet på et helt nyt trick. Ifølge TrendLabs, der tilhører sikkerheds-firmaet Trend Micro, er de it-kriminelle begyndt at hyre billig arbejdskraft i Indien til at oprette brugerkonti på forskellige internet-tjenester. I stedet for automatiske bots er det altså underbetalte indere i sweatshops, der gør det hårde arbejde for spammerne.
Det fungerer angiveligt på den måde, at bot-programmet finder tilmeldingssiden og udfylder formularen med tilfældige data. Når botten bliver bedt om at udfylde CAPTCHA'en, så sender den en besked til en computer-terminal i Indien, hvor et menneske så indtaster den rigtige kombination af tal og bogstaver og sender resultatet tilbage til botten. Den udfylder så tekstfeltet og opretter en brugerkonto, hvorefter der er fri adgang til spamme alle tjenestens medlemmer.
»Cybercrime-industrien er ikke længere forbeholdt enkeltpersoner, men styres af kriminelle bander med adgang til store økonomiske ressourcer. Ved at ansætte mennesker til at løse CAPTCHA problemet, for helt ned til to eller tre pund om dagen, kan de skaffe sig adgang til millioner af registrerede brugerkonti,« siger Rik Ferguson fra Trend Micro.
Men den indiske outsourcing er ikke den eneste kreative metode, som de it-kriminelle bruger til at snyde sig igennem testen. Sidste år fandt sikkerhedsforskere et stripperspil til Windows, hvor spilleren skulle indtaste teksten fra en CAPTCHA-test for at få vist et billede af en delvist afklædt kvinde. Programmet var angiveligt indrettet, så det automatisk hentede en CAPTCHA fra Yahoos webmail og dermed hjalp de it-kriminelle med at oprette falske brugerkonti.
Premium
Professor Christian Damsgaard: Her er de tre vigtigste sikkerhedsmæssige udfordringer ved at lægge dine data i clouden