Captcha

網路搜尋業龍頭Google公司已經買下防詐欺軟體公司ReCaptcha，將利用新取得的技術保護網頁瀏覽者，並改善書籍與報紙掃描的品質。【編譯陳澄和/綜合報導】

ReCaptcha公司協助網站安裝所謂的Captcha程式，能夠分辨用戶究竟是人或電腦，藉以阻止詐欺與垃圾信件，目前已有包括Ticketmaster.com等逾10萬個網站使用該公司的技術。

該程式會先呈現一個形狀扭曲的字或句子，要求用戶鍵入到指定的框內，由於自動發送郵件的垃圾信或駭客系統通常無法辨識扭曲的字，於是便會被攔擋下來。

資安公司MessageLabs說，垃圾郵件濫發者已破解Gmail只許真人建立e-mail帳戶的機制，導致上個月從Gmail發出的垃圾郵件量暴增。(Elinor Mills)

一般人申請Gmail帳戶時，都必須通過captcha程式的檢核，通常是出現一個內含幾個字元的方框，有的字型扭曲，有的背景摻雜花紋圖案。申請者必須親手鍵入與方格內字元一模一樣的字母與數字，才能登入系統。

這套機制的用意，是逮住或阻止自動化程式(或稱「bot」，機器人程式)自動建立新帳戶，讓濫發郵件者利用。儘管captcha系統帶來一些麻煩，但直到目前為止，一直能成功地防堵機器人程式。

網路威脅又新添一樁！為了竊取部落格或入口網站帳號密碼，趨勢科技(Trend Micro)日前發現駭客在網路上為破解驗證識別碼保護機制，透過在網路上散播內含有一隻名為TROJ_CAPTCHAR.A木馬病毒的脫衣舞孃遊戲引誘網友，大肆將蒐集到的驗證碼成立破解資料庫，藉以在部落格自動垃圾留言、進入聊天室，或是自動註冊Email帳號，以利散發垃圾郵件。

為了躲避程式判斷，許多 captcha 機制不斷被提出，而各自有其問題及限制，不少 captcha 利用著複雜的圖形，導致連使用者都無法正確辨識；另外一些借助 Javascript 的則有可靠性的顧慮。AnimatedCaptcha 是一套利用 GIF 圖層特性發展出的動畫 captcha 機制，透過要求使用者完成一個簡單的計算以進行確認，而計算的三個元素例如: 6 x 9 則分散在三個圖層中，用以增加 OCR 的難度。

之前報導過的一套 Heyes Captcha，由於在論壇上被點出了可輕易破解的手法，作者又再度發佈了新的構想，透過要求使用者按下特定按鍵數秒來進行驗證，而不再需要任何圖像。此一概念作者坦承目前未臻完善而尚未提供下載，此外已經有人在抱怨花太多時間驗證了 XD
試玩

不分大小寫，按住的秒數需與要求完全相同

雖然圖像式垃圾郵件的手法同樣適用於 Captcha，不過我想起前幾天看到的一句話『整體而言，壞人對新技術的適應力優於好人』....

在 Scott Berinato 的這篇文章中，提到了他對於 Image Spam 的一些分析及憂慮，根據 Symantec 的 Doug Bowers 調查，一年前圖像式垃圾郵件約占 Spam 總數的 5%，而現在則已攀升到 40% (他引用的數據為三月份的，四月份則又震盪為 27%)，以下則針對目前常見手法進行介紹 :
 繼續閱讀 »