ספאמרים עושים שימוש בתוכנת 'bot' חדשה (בוט - קיצור של רובוט. תוכנה המיועדת לאיסוף מידע או ביצוע פעולות אוטומטיות אחרות על ידי חיקוי פעולות של משתמש אנושי), על מנת לעקוף את המכשולים אותם הקימה מיקרוסופט במטרה למנוע מגורמים זדוניים ליצור מספר גבוה של חשבונות דוא"ל במסגרת שירות Live Mail, כך טוען היום מומחה אבטחה.

דן יובארד, סגן נשיא למחקר אבטחה בחברת Websense, מסר שהבוט החדש פותח במטרה לפצח את מנגנון הגנת ה-CAPTCHA של מיקרוסופט (ראשי תיבות שמשמעותן 'מבחן אוטומטי לחלוטין להבחין בין משתמש אנושי למחשב'). מנגנון זה הוא למעשה סדרת התווים המעוותת והמעורבלת, כפי שניתן לראות בתמונה למטה, בה עושים שימוש שירותי אינטרנט רבים על מנת למנוע יצירה אוטומטית של מאות ואלפי חשבונות על ידי אותו גורם בזמן קצר.

לדברי יובארד, הבוט לוקח את ה-CAPTCHA - שלמעשה אינו טקסט אמיתי אלא תמונה - ושולח אותה לשרת של הספאמרים, שם התמונה "נקראת" באופן כשלהו, והטקסט המתאים מיוצר. בשלב זה הטקסט נשלח בחזרה ל-Live Mail ונשתל בתיבת השיח הרלוונטית. בממוצע, הבוט מצליח להחזיר תשובות נכונות ב-30% עד 35% מהפעמים. "זו הפעם הראשונה בה אנו נתקלים בבוט מסוג זה", אומר יובארד. "הוא משלים בהצלחה את התהליך המלא של זיהוי קוד ה-CAPTCHA ויצירת חשבון חדש".

יובארד מודה שחלק מפרטי התרמית עדיין מעורפלים. "מה שאנחנו לא יודעים זה מה קורה בצד השרת של הספאמרים", הוא אומר. ברגע שתמונת ה-CAPTCHA מגיעה לשרת, הספאמרים מריצים ככל הנראה סוג כלשהו של תהליך OCR (זיהוי תווים אופטי) או עושים שימוש באחד מכמה כלים קיימים לפיצוח CAPTCHA. לחילופין, ייתכן שאנשים אמיתיים מקבלים את התמונות ומקלידים באופן ידני את התווים, למרות שלדברי יובארד, הסבירות לכך נמוכה.

תאבונם של ספאמרים למספר גבוה של חשבונות דוא"ל היא שדחפה אותם לפתח את הבוט החדש, מסביר יובארד. "הם עושים שימוש בכתובות הללו לכל היותר יום-יומיים, ואז נפטרים מהן. זוהי פחות או יותר תוחלת החיים של כתובת ספאם. חשבונות כאלה נסגרים מהר מאוד, אחרת הם מסומנים על ידי מנגנוני סינון הספאם השונים".

Live Mail, כמו גם שירותים מתחרים כגון Yahoo Mail, מהווים מטרה מועדפת לספאמרים מכיוון שהם ניתנים בחינם, ושמות המתחם שלהם אינם נחסמים באופן אוטומטי על ידי כלי אנטי-ספאם. בנוסף, בגלל ששירותים אלה כוללים מיליוני חשבונות דוא"ל, לספאמרים קל יותר להסתיר את כתובות הספאם שלהם בתוך ההמון.

שיעור ההצלחה המרשים של הבוט החדש מוכיח שמנגנון ה-CAPTCHA נמצא בסכנה. למרבה הצער, לא קיימת כיום שום טכנולוגיה יחידה שיכולה לתפוס את מקומו, במיוחד לא עבור שירותים מרובי משתמשים כדוגמת Live Mail או Yahoo Mail. "יש צורך למצוא משהו שהוא פשוט וקל לשימוש מספיק בכדי שאנשים יקבלו אותו בהבנה, אבל מצד שני קשה מספיק עבור מחשב לפצח ללא התערבות אנושית. מדובר בקו דק מאוד", אומר יובארד.

הממצאים של Websense הם למעשה הפעם השנייה בתוך פחות משלושה שבועות בה נשמעות טענות לפיהן מנגנון ה-CAPTCHA פוצח. בחודש שעבר פרסם תוכניתן רוסי תוכנה שלטענתו יכולה לפצח את מערכת ה-CAPTCHA של יאהו בהצלחה של 35%.