攻击者愿意做任何事情来劫持邮箱帐户，从而发送垃圾邮件。目前，他们正绕过传统的Web登录界面来寻找进入邮箱账户的后门。

　　这些攻击者已经瞄准了雅虎，并通过自动密码破解脚本成功地破解了雅虎网页服务认证应用程序的账户密码，而这些认证程序被认为是供互联网服务供应商（ISPs）和第三方网页应用使用的。

　　这一攻击是由网络应用安全联盟分布式开放代理蜜罐项目发现的，该项目由Breach Security公司的研究人员负责维护。该蜜罐项目正在跟踪一系列大量成功的、针对雅虎邮箱用户的暴力攻击。

　　“多年来我们已经知道，高度可见的Web界面被暴力攻击之后，垃圾邮件的发送者就会接踵而至，所以多数邮箱服务商会密切留意那些多次登录的情况。“这是一个很好的、标准的做法，”Breach Security公司的应用安全研究协会的董事Ryan Barnett说，“但这并不意味着，终端用户可以在没有访问权限的条件下，尝试登录以激活认证。”

　　一旦账户被破解，垃圾邮件发送者就可以使用该帐户制作更多的垃圾邮件，或者做出更坏的事情，例如获取账户持有人的个人信息。该方法使垃圾邮件发送者可以知道他们开展恶意活动的地理位置，从而使他们做出更有针对性的垃圾邮件活动。

　　Barnett说，暴力攻击的规模很难评估，但这些活动一直没有停止过。黑客不是针对某个用户帐户。因为基于Web服务的认证程序没有反自动化的防御功能，攻击者会建立一套自动脚本，从而循环测试常见的密码和可能的用户名。

　　“雅虎在很多子领域都有这种认证应用，”Barnett说，“他们拥有数百种这样服务，而攻击者也会到处尝试获取这些认证。”

　　暴力密码攻击已经存在多年了，它是入侵账户相当笨拙的方法之一。Barnett说，雅虎对最新的袭击事件已经有了警觉。该搜索引擎巨头使用的是基于Web服务的认证程序，可以让用户输入雅虎的密码，从而进入雅虎的第三方合作伙伴的Web应用，如流媒体视频播放器。

　　“我们只能看到他们发送的数据的片段，”Barnett这样描述正在进行的攻击， “这只是垃圾邮件发送者用来扩大他们恶意活动范围的另一个策略而已。”

　　Barnett说，2007年网络应用安全联盟的分布式开放代理蜜罐项目就已经进入应用阶段。开放的代理服务器能够引诱攻击者通过它来发送信息。与此同时，一种mod_security 网络应用防火墙（WAF）正在进行监测，并向项目的参与方报告可疑的流量信息。

　　今年夏天，这个工程的第三阶段开始了。7月，部署的监视器将由14个提高到60个。Barnett表示，该项目还增强了其分析程序的能力。它增加了Splunk平台，这是一个日志管理的索引平台，可以进行更强大的搜索和分析。