CAPTCHA Social Engineering Experiment
- joebert
- Sledgehammer
- Inscription: Fév 10, 2004
- Messages: 13455
- Loc: Florida
- Status: Offline
Novembre 30th, 2008, 9:58 pm
Je pensais à quel point les images CAPTCHA sont de lire ces jours et j'ai eu une idée.
J'ai fait une recherche Google pour
J'ai recueilli les noms de domaine des 50 premiers résultats qui n'avaient pas de «traduire» le lien à côté d'eux, ce qui signifie qu'ils étaient susceptibles de parler anglais.
J'ai pris une minute pour générer une liste délimitée par des virgules de "support @ domaine" adresses e-mail style dans la liste, et a ajouté que le champ Cci d'un courriel que j'ai envoyé à moi-même.
Le contenu de l'email est le suivant.
Maintenant, c'est quelque chose que je pourrais écrire un script à faire pour moi, l'enfer, elle ne m'a pris peut-être 15 minutes pour faire ce pour la première fois à la main.
Environ 5 minutes après que j'ai envoyé le courriel que j'ai immédiatement reçu trente 550 notifications d'état de remise échec parce qu'il n'y avait aucun soutien "@ ~" boîte aux lettres enregistrées, et j'ai reçu un mail me demandant de remplir un captcha extrêmement simples pour confirmer que j'étais un homme.
Peut-être 5 minutes après que j'ai reçu un courriel avec un lien vers un formulaire d'inscription qui n'ont pas eu un CAPTCHA avec l'assurance que si j'avais encore des problèmes, ils le configurer à la main pour moi.
Au bout de 5 minutes, j'ai reçu un mail avec le nom d'utilisateur j'ai demandé et un mot de passe à utiliser.
Donc sortir de ces 50 adresses, j'ai eu deux (4%) qui pourrait m'aider à contourner l'enregistrement d'un CAPTCHA. Et theres toujours environ 15 ou si les adresses qui n'ont pas répondu de quelque manière que jusqu'ici.
Maintenant, il wouldnt être difficile d'avoir un script de faire un whois pour chaque domaine et de recueillir l'administration ou la technique e-mails au lieu d'utiliser un support générique @ ~
Je n'ai vraiment pas envie de la pousser, si Im ne vais pas faire plus que les 50 d'origine des courriels, mais je ne peux m'empêcher de me demander combien de personnes sans le savoir, ouvrir les portes pour les robots collecteurs de mails sur les forums de ce genre.
J'ai fait une recherche Google pour
Code: [ Select ]
inurl:"register.php" inurl:forum
J'ai recueilli les noms de domaine des 50 premiers résultats qui n'avaient pas de «traduire» le lien à côté d'eux, ce qui signifie qu'ils étaient susceptibles de parler anglais.
J'ai pris une minute pour générer une liste délimitée par des virgules de "support @ domaine" adresses e-mail style dans la liste, et a ajouté que le champ Cci d'un courriel que j'ai envoyé à moi-même.
Le contenu de l'email est le suivant.
Quote:
Bonjour,
Id amour pour vous inscrire sur votre forum, mais il m'a fallu moins de temps à creuser
jusqu'à cette adresse e-mail et de se plaindre qu'il ne me prenait pour comprendre
what the heck que CAPTCHA image dit.
Id tiens à vous inscrire en utilisant le nom de "mrjoebert",
Mon anniversaire est 4th Juillet 1981,
mon adresse email est celle-ci, l'e-mail a été envoyé de cette "
Est-il possible que quelqu'un pourrait terminer la configuration du compte pour moi et juste
envoyez moi un mail d'activation je peux cliquer, ou quoi?
Merci,
Joe
Id amour pour vous inscrire sur votre forum, mais il m'a fallu moins de temps à creuser
jusqu'à cette adresse e-mail et de se plaindre qu'il ne me prenait pour comprendre
what the heck que CAPTCHA image dit.
Id tiens à vous inscrire en utilisant le nom de "mrjoebert",
Mon anniversaire est 4th Juillet 1981,
mon adresse email est celle-ci, l'e-mail a été envoyé de cette "
Est-il possible que quelqu'un pourrait terminer la configuration du compte pour moi et juste
envoyez moi un mail d'activation je peux cliquer, ou quoi?
Merci,
Joe
Maintenant, c'est quelque chose que je pourrais écrire un script à faire pour moi, l'enfer, elle ne m'a pris peut-être 15 minutes pour faire ce pour la première fois à la main.
Environ 5 minutes après que j'ai envoyé le courriel que j'ai immédiatement reçu trente 550 notifications d'état de remise échec parce qu'il n'y avait aucun soutien "@ ~" boîte aux lettres enregistrées, et j'ai reçu un mail me demandant de remplir un captcha extrêmement simples pour confirmer que j'étais un homme.
Peut-être 5 minutes après que j'ai reçu un courriel avec un lien vers un formulaire d'inscription qui n'ont pas eu un CAPTCHA avec l'assurance que si j'avais encore des problèmes, ils le configurer à la main pour moi.
Au bout de 5 minutes, j'ai reçu un mail avec le nom d'utilisateur j'ai demandé et un mot de passe à utiliser.
Donc sortir de ces 50 adresses, j'ai eu deux (4%) qui pourrait m'aider à contourner l'enregistrement d'un CAPTCHA. Et theres toujours environ 15 ou si les adresses qui n'ont pas répondu de quelque manière que jusqu'ici.
Maintenant, il wouldnt être difficile d'avoir un script de faire un whois pour chaque domaine et de recueillir l'administration ou la technique e-mails au lieu d'utiliser un support générique @ ~
Je n'ai vraiment pas envie de la pousser, si Im ne vais pas faire plus que les 50 d'origine des courriels, mais je ne peux m'empêcher de me demander combien de personnes sans le savoir, ouvrir les portes pour les robots collecteurs de mails sur les forums de ce genre.