Zombier stormede billetkøer og scorede 100 mio. til billethajer
Retten i den amerikanske delstat New Jersey har indledt en sag mod en gruppe af usædvanlige billethajer. Gruppen, der i anklageskriftet kaldes 'Wiseguys' har angiveligt benyttet et netværk af virusinficerede pc'er, også kendt som et botnet, til at organisere videresalg af eftertragtede billetter med en millionfortjeneste.
Ifølge anklageskriftet anslås det, at Wiseguys har tjent 109 millioner kroner på at sælge billetterne videre gennem rubrikannoncer og internetauktioner.
Den slags videresalg er ikke nødvendigvis ulovligt i USA, men det er derimod ulovligt at bruge computere til automatisk at købe billetterne gennem de elektroniske billetsystemer.
Angiveligt havde Wiseguys-gruppen opbygget et botnet bestående af flere tusinde pc'er, som var inficeret med en trojansk bagdør. Pc'erne blev brugt til at automatisk at logge sig på billetkøen, når billetter til koncerter eller sportskampe blev sat til salg.
Pc'erne blev også brugt til at bryde de særlige koder, CAPTCHA, der er et billede af et forvrænget ord, som brugeren skal fortolke og skrive for at kunne gennemføre handlen.
Udover organisationen i USA samarbejdede medlemmerne af Wiseguys-gruppen også med udviklere i Østeuropa om udviklingen af den software, der blev brugt til at udføre de kriminelle aktiviteter.
Kommentarer (15)
Hvordan bryder man CAPTCHA?
Bruteforcing kan jo ikke lade sig gøre da man får et nyt ved hvert forsøg. Er der tale om reelt billedgenkendelse?
-
0 -
0
Er der tale om reelt billedgenkendelse?
Sikkert. Husk, at der ikke er behov for nogen særlig god succesrate: Selv om du kun kommer igennem i et ud af 100 forsøg, så er det nok, hvis du har tusinde af PC'er til det.
Det ville virke bedre, hvis du først skulle "taste" kreditkortoplysninger og først derefter en CAPTCHA. Hvis man fejler CAPTCHAen mere end to gange, så kan samme kreditkort ikke bruges igen. Dermed skal der en bedre succesrate til, før det virker.
-
0
-
0
Jeg sad og tænkte det samme. Det er rimeligt imponerende, hvis de har udviklet så avanceret teknologi i forbindelse med projektet :)
Ganske vist kender jeg ikke kvaliteten af billetsælgernes CAPTCHA og den slags kan jo variere meget....men man kan da alligevel ikke lade være med at tænke, at det er imponerende....og mærkeligt, at de ikke har brugt deres evner mere fornuftigt - mon ikke der ville være langt mere end 109 mio. kr. i legal udnyttelse af teknologien? :)
-
0
-
0
Mon ikke man ved at træne et filter kunne få det til at gætte rigtigt på i det mindste nogen af dem. Man skal vel bare have et stort nok udsnit af de data der kan risikere at komme ud parret med det rigtige ord. Der er manuelt arbejde involveret ved at træne filtret, men mon ikke man kan komme frem til at kunne genkende nogen af dem.
-
0
-
0
Ja, det kan være via billedgenkendelse, eller OCR (Optical Character Recognition): http://en.wikipedia.org/wiki/CAPTCHA#Circumvention
Man kan egentlig også brute force sådan et system, men det kræver held at forsøge med den rette kode samtidigt med det bliver vist i CAPTCHA'en :)
-
0
-
0
Der er stadig måder at gennembryde det på. Hvis man har "brugere" nok, kunne man også videreformidle en CAPTCHA i en anden sammenhæng, eksempelvis give brugeren adgang til noget pr0n hvis han løser en CAPTCHA.
-
0
-
0
Ja det har du egentligt ret i. Men bot'erne skal jo konkurrere mod menneskelige brugere, som formodentligt har en relativt høj succésrate. Og i forbindelse med populære koncerter er der jo rigtigt mange menneskelige konkurrenter.
Men du har da ret i at antallet af bots sænker kravet til succés for den enkelte bot markant.
-
0
-
0
De kunne også bare have brugt off-the-shelf teknologi[1, 2] :-)
Mvh,
[1] http://www.cs.sfu.ca/~mori/research/gimpy/
[2] http://caca.zoy.org/wiki/PWNtcha
-
0
-
0
Det fremgår af anklageskriftet, at der har været lidt af et kapløb mellem billettjenesterne og Wiseguys. Bemærk at CAPTCHA-tjenester som reCAPTCHA eksempelvis forbedres løbende for netop at forsøge at være et skridt foran, når softwaren til maskingenkendelse når et vist niveau.
Derudover er der muligheden for outsourcing af CAPTCHA-genkendelse, hvor det er mennesker, der sidder og indtaster svarene.
Mvh.
Jesper Stein Sandal
Version2
-
0
-
0
Derudover er der muligheden for outsourcing af CAPTCHA-genkendelse, hvor det er mennesker, der sidder og indtaster svarene.
Kald det outsourcing, hvis du vil - jeg ville nok nærmere kalde det 'phishing'.
Som Daniel skriver, så er det lige så let som at klø sig et vist sted, at etablere sites, der lokker med porno/nøgenbilleder osv, hvor brugeren afkræves en captcha (den underliggende), for derefter at generere en transaktion.
Så jo, det er mennekser, men de ved sikkert ikke selv de er 'hyret' til opgaven.
-
0
-
0
Der har ellers været en relevant artikel for noget tid siden om hvordan CAPTCHA kunne brydes:
http://www.version2.dk/artikel/10760-it-kriminelle-tjen-3-oere-for-hver-...
-
0
-
0
Der er en længere uddybende artikel på Wired om, hvordan det lykkedes dem at omgå CAPTCHA: http://www.wired.com/threatlevel/2010/03/wiseguys-indicted/
-
0
-
0
Kald det outsourcing, hvis du vil - jeg ville nok nærmere kalde det 'phishing'. Så jo, det er mennekser, men de ved sikkert ikke selv de er 'hyret' til opgaven.
De kinesiske goldfarmere kan også hyres til at lave andre rutineopgaver end at fiske.
Jeg er sikker på, at der tidligere blev skrevet om at flere tusinde mennesker var ansat til at sidde og skrive kryptiske ord. Måske har reCaptcha en fordel der, da det ofte kræver en forståelse af engelsk at kunne løse dem.
-
0
-
0
At bryde CAPTCHA koder kan formentlig købes på lovlig vis (som Jesper nævnte), f.eks. via Amazons Web services / Mechanical Turk, se http://aws.amazon.com/mturk/
-
0
-
0
Det fremgår af anklageskriftet, at der har været lidt af et kapløb mellem billettjenesterne og Wiseguys. Bemærk at CAPTCHA-tjenester som reCAPTCHA eksempelvis forbedres løbende for netop at forsøge at være et skridt foran, når softwaren til maskingenkendelse når et vist niveau.
Det er endda en del af CAPTCHA-ideen. Du får kriminelle til at lave forskning og så skruer du op for sværhedsgraden :)
-
0
-
0
