Hur spammare använder lågkostnadsarbete för att lösa CAPTCHAS

Det som bara kan beskrivas som en episk ny analys av en kader av forskare vid UC San Diego har avslöjat den förslappade magen hos ett sofistikerat, högautomatiskt, världsomspännande nätverk av tjänster som hjälper e-post-, blogg- och forumspammare att ta sig förbi CAPTCHAS som är utformade för att hålla dem utanför.

En CAPTCHA, för dig som inte är uppe på din omvända Turing-tester , är den där lilla biten förvrängd text som du måste skriva tillbaka på en webbsida när du försöker registrera dig för ett nytt e-postkonto eller lämna en kommentar på ett forum eller blogg som råkar använda dem. Den ursprungliga idén var att en CAPTCHA skulle förhindra spammare från att kunna översvämma offentliga forum med sitt däck, eftersom CAPTCHAS per definition är lätta för människor att lösa men utmanande eller omöjliga för datorer att få rätt ofta nog. De kommer att kännas igen som en dator efter deras sjätte eller sjunde fel.

Men uppfinnarna av CAPTCHAS förutsåg förmodligen inte detta: Hundratals, möjligen tusentals arbetare som arbetar för mindre än $50 i månaden för att lösa en oändlig ström av CAPTCHAS som levereras till dem av automatiserade mellanhänder som säljer resultaten till spammare i realtid, så att deras skräppostrobotar kan använda dessa lösningar för att göra inlägg på forum och bloggar samt skapa bedrägliga e-postkonton, säger en papper på väg att levereras vid USENIX Säkerhetssymposium .

En smart analys av var de arbetare som var inblandade i detta system befinner sig avslöjade att de är baserade i Indien, Ryssland, Sydostasien och Kina. Systemet är så effektivt att leverera CAPTCHAS till arbetare på dessa avlägsna platser att den genomsnittliga tiden för leverans av en lösning svävar runt 20 sekunder.

En av CAPTCHA-tjänsterna som forskarna experimenterade med - ImageToText - var så bra att dess arbetare kunde leverera korrekta resultat på ett anmärkningsvärt antal språk, inklusive nederländska, koreanska, vietnamesiska, grekiska och arabiska.

Inte ens att sätta provet CAPTCHAS i Klingon - ett språk som kan läsas av så få människor på jorden att forskarna trodde att de kunde använda det som en kontroll i deras experiment - var inte tillräckligt för att stoppa ImageToText, vars arbetare lyckades lösa en handfull av dessa CAPTCHAS trots att oddsen är mindre än en av tusen för att de slumpmässigt får rätt svar.

Resultaten av denna landmärkestudie visar att ett antal webbplatser, inklusive de som drivs av Microsoft, AOL, Google och det flitigt använda reCaptcha, regelbundet äventyras av spammare som använder dessa tjänster.

Här är en faktisk skärmdump av vad arbetare för dessa tjänster ser när de löser en CAPTCHA:

Forskarna drar slutsatsen att deras undersökning, som inkluderade intervjuer med en anonym Mr. E som faktiskt driver en av dessa tjänster, bevisar att för sofistikerade spammare är CAPTCHAS inte så mycket en barriär som en kostnad för att göra affärer.

Följ Mims på Twitter eller kontakta honom via e-post .

Dölj