Formular-Spam verhindern

Von Spammern immer wieder gerne genommen: Formular-Spam. Bots finden ungeschützte Formulare und nutzen diese aus. Ärgerlich, wenn der eigene Name damit in den Schmutz gezogen wird (1). Sehr ärgerlich wird es, wenn dadurch das Double-Opt-In als Spam versendet wird (2). Ganz extrem ärgerlich (und teilweise teuer) wird es, wenn Formulare ganz bewußt zur Schädigung eingesetzt werden (3).

Wie funktioniert Formular-Spam?  (1 und 2)

Der Bot füllt das Formular in etwa wie folgt aus:
Feld Vorname: „Glückwunsch. Ihr Name wurde in der Verlosung gezogen.“
Feld Nachname: „Um Ihren Gewinn auszuzahlen, melden Sie sich unter folgendem Link. Vielen Dank!“.
Feld Email: [eine zuvor aus diversen anderen Datenquellen gewonnene Email-Adresse]

Da auf der Website ein wirksamer Schutz fehlt, konnte diese Anfrage locker automatisiert werden. Innerhalb von Minuten werden damit mehrere 10000 Empfänger mit einer solchen eMail im Namen des Websitebetreibers beglückt. Und das auch, wenn der Website-Betreiber zu den Guten gehört und eigentlich mit einem Opt-In alles richtig machen wollte.

Schädigung? Wie? (3)

Extrem ärgerlich und möglicherweise auch sehr teuer für den Webseitenbetreiber ist es, wenn ein Formular zur bewußten Schädigung verwendet wird.

Viele Blacklists (auch unsere eigene) verwenden sogenannte Honeypots um Spammern das Handwerk schwerer zu machen. Irgendwo in dem Quelltext einer Webseite oder in einer nicht öffentlich zugänglichen Datei auf einem Server versteckt man eine eMail-Adresse, die auf einen Honeypot zeigt. Kommt dort eine eMail an, ist klar, daß der Absender die Adresse nicht auf legalem Weg erhalten haben kann. Es liegt in der Natur der Dinge, daß diese Adressen von Spammern nicht ewig unerkannt verwendet werden. Über kurz oder lang fällt es auch dem dümmsten Spammer auf, daß immer bei Verwendung der Adresse ****@*******.*** plötzlich die Blacklists zuschlagen/blockieren.  

Ein sehr unschöner Trend ist, das diese so enttarnten Honeypot-Adressen im Nachgang dazu verwendet werden um bewußt eine Blockierung zu erreichen und so die Blacklist bei den ISPs zu diskreditieren.

CAPTCHAs schaffen Sicherheit

CAPTCHA ist die englische Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Auf Deutsch bedeutet dieses: Ein CAPTCHA ist ein Mechanismus, der Menschen von Computern unterscheidet. Es prüft, ob beispielsweise ein Formular von einem Menschen oder einem Computer (Bot) ausgefüllt wurde. Neben dem gewünschten Ausfüllen von Kunden / Interessenten, können ja auch sogenannte „Bots“ eingesetzt werden, um z.B. Anmeldungs-/Registrierungsformulare mißbräuchlich automatisch auszufüllen.

Welche Typen von CAPTCHAs gibt es?

Captchas sind für den Menschen einfach zu lösen, aber für Computer ist dieses in der Regel eher unmöglich. Dabei werden beispielsweise Buchstaben und Zahlen derart verzerrt dargestellt, sodaß Menschen diese erkennen können, Bots aber nicht.

Es gibt dabei verschiedene Typen:

Text-CAPTCHA:

In diesem Fall werden Buchstaben (Groß- und Kleinschreibung) und Zahlen auf einem verzerrten Hintergrund dargestellt. Für den Menschen sind diese Kombinationen in den meisten Fällen gut lesbar. Ein Computer oder Bot kann in diesem Fall nur über umfangreiche Mustererkennung und entsprechende Hardware zur richtigen Lösung kommen.

Grafische-CAPCTHA:

Bestimmte grafische Symbole oder ausgewählte Bilder müssen bei diesem Captcha-Typ identifiziert und angeklickt werden, um eine „menschliche Intelligenz“ nachzuweisen.

Audio-CAPCTHA:

Insbesondere für Personen mit Sehschwäche können auch Audio-Captchas eingesetzt werden. Dabei muß ein Ton erkannt und entsprechend in ein Formular eingetragen werden.

Video-CAPCTHA:

Bei einem Video-Captcha wird ein Film abgespielt und der Zuschauer muß beispielsweise alle roten Buchstaben erkennen oder das Video kurz erklären.

Wichtig bei der Auswahl des richtigen Captchas ist es, die Barrierefreiheit zu beachten, sodaß alle Besucher in der Lage sind, das Captcha richtig eingeben zu können.

Wozu sind sie da?

Captchas sind für den Besucher oft störend und zeitraubend, auch wenn es sich nur um Sekunden handelt. Nichts desto trotz, sind sie für den Schutz der Webseite unverzichtbar. Sie schützen den Betreiber der Seite vor Mißbrauch und Manipulation. Dadurch tragen Captchas vielfältig zur IT-Sicherheit des gesamten Systems bei – Captcha gegen Formular-Spam.

Nachteile?

Insbesondere schlecht lesbare Captchas sind für den Anwender ein echtes Greul. Da die Technik und die künstliche Intelligenz immer besser werden, müssen die Captchas auch immer komplexer werden. Dadurch kann das Ausfüllen eines Captchas schwieriger, aufwendiger und zeitraubender werden. Außerdem sehen ein paar Verwender die Sinnhaftigkeit der Funktion nicht und brechen den Vorgang ab. Dieses stellt für den Betreiber der Seite einen Conversionverlust dar.

Gibt es Alternativen?

Eine richtige Alternative zum Captcha gibt es momentan nicht. Es bestehen zwar, je nach Einsatzgebiet, viele Filter und andere Anti-Spam-Softwaren, allerdings bieten diese nicht die gewünschte Sicherheit, die ein Captcha bietet.

Nähere Informationen zu Captcha finden Sie übrigens auch in Wikipedia unter https://de.wikipedia.org/wiki/Captcha

Related Articles