Gmail验证程序遭破解 垃圾邮件汹涌

安全厂商MessageLabs的一份报告称，黑客利注册了大量随机Gmail帐号，并利用这些帐号通过绕过谷歌防止恶意注册验证程序大肆向用户发送垃圾邮件。

MessageLab二月底监视了谷歌Gmail中大量的垃圾邮件。该公司的高级反垃圾邮件技术专家Matt Sergeant说，垃圾邮件的大量增加说明黑客们已经发现了绕过CAPTCHAS (Completely Automated Public Turing Test To Tell Computers and Humans Apart)验证程序的方法，CAPTCHAS验证程序时为了确认自动登录信箱时确实有人申请使用帐户。

Sergeant说，雅虎和hotmail等也在使用CAPTCHA验证程序，如果黑客确实找到了破解这一程序的办法，那就意味着整个互联网的一次危机。

他说：“如果黑客解决了CAPTCHA验证程序的问题，事情就糟糕了，因为很多的站点都使用它来抵制垃圾邮件保护站点安全，”另为值得注意的是很多恶意人士喜欢把google这样的大公司当作保护伞，他补充说：“不能把Gmail或者hotmail放入黑名单，因为还有那么多合法邮件都是通过他们的。如果这些他们的油箱被禁用了，大家都会很困扰，所以现在大家不得不过滤邮件内容，而这要比禁用一个IP地址难得多。”

他们又两个绕过CAPTCHA验证程序的办法。黑客可以利用mechanical turks的服务，这些人可以手动创建帐户或者利用一个软件界面来破解CAPTCHA验证程序。或者这些恶意人士可以编造一个自动寻找CAPTCHA验证程序漏洞的算法。Sergeant说，一旦获得了合理的准确度，以算法为基础的攻击就是可以扩展的。

MessageLabs的研究表明，这些算法的成功率在20%到30%。把这些算法和僵尸网络的计算功率结合在一起，黑客就可以随心所欲的创建email帐户。他们还可以利用mechanical Turks把不同的方法结合在一起，在扩展数据库时首先破解CAPTCHA验证程序，并且解决发展中算法的培训、测试和调节问题。随着成功率的上升，黑客可以减少或者降低利用昂贵的mechanical Turks的利用，转向以僵尸网络为动力的操作。

最新分析表明，上个月，使用雅、Hotmail、MSN和谷歌的网络邮件为基础的服务发送的垃圾邮件占所有垃圾邮件的4.2%，比一月份降低了1.5%。在这组数据中，雅虎被滥用最严重，但是研究院也发现从一月到二月谷歌的垃圾邮件也翻倍了。这些垃圾邮件的进一步分析表明这些垃圾邮件都连接到成人娱乐内容网站。

Sergeant说，他的公司一直都和大型搜索引擎保持联系。“谷歌非常重视这件事，并且正在研究。” 他说，“如果检测到可疑内容，他们可以尽快禁用这些账户，但是僵尸网络、垃圾邮件可疑从不同的地方登录，这个问题比较难解决。”

谷歌的发言人Megan Lamb在一封邮件中说：“在我们的服务项目中，使用Gmail发送垃圾邮件违背了程序政策。我们立即禁用了这些账户，如果他们继续扩散，我们还会这么做。”