Ein Crashkurs zur Bekämpfung von Webformular-Spam im Jahr 2021
Wenn Sie eine Website hosten, auf der ein Kontaktformular eingebettet ist, sind Sie wahrscheinlich mit Spam-Bots vertraut, die Ihr Formular mit nicht hilfreichen oder geradezu schädlichen Informationen ausfüllen. Dies kann ziemlich Kopfschmerzen bereiten (insbesondere für Vermarkter, die potenzielle Kundeninformationen sammeln oder Registrierungen für eine Veranstaltung sammeln). Ganz zu schweigen davon, dass die schlechten Bot-Informationen Ihre CRM-Daten infiltrieren können, was dazu führt, dass Mitglieder Ihres Teams Stunden damit verbringen, die unerwünschten Daten zu bereinigen und die Formular-Conversion-Rate Ihrer Website zu erhöhen. Im schlimmsten Fall stellen Spam-Bots eine Sicherheitsbedrohung für Ihre Website dar, die Ihren Website-Besuchern und Mitgliedern Ihrer Organisation schaden kann.
Glücklicherweise gibt es viele Möglichkeiten, diesen unerwünschten Datenverkehr zu reduzieren, wodurch Ihr Team Zeit spart und sich auf legitime Leads konzentrieren kann. Aber jedes Webformular (und der Spam, den es bekommt) ist einzigartig. Um sich besser zu verteidigen, ist es am besten, einen Einblick in die möglichen Angreifer zu bekommen. Nehmen wir uns einen Moment Zeit, um wie ein Spam-Bot zu denken!
Was sind Spam-Bots?
Cloudflare definiert einen Bot als eine Softwareanwendung, die darauf programmiert ist, bestimmte (oft sich wiederholende) Aufgaben auszuführen, die sie viel schneller erledigen kann als Menschen. Kurz gesagt, ein Bot ist ein Programm; Typischerweise eines, das geschrieben wurde, um eine bestimmte Aufgabe so schnell und so oft wie möglich auszuführen, um sein Ziel zu erreichen. Beachten Sie auch, dass nicht alle Bots schlecht sind! Die Webcrawler, die Google und Bing verwenden, um Inhalte für ihre Suchmaschinen zu indizieren, sind wahrscheinlich einige der produktivsten Bots, die jemals hergestellt wurden. Spam-Bots sind solche Bots, die zum ausdrücklichen Zweck des Versendens von Informationen (häufig über Webformulare) geschrieben wurden.
Gutartig oder nicht, Bots gibt es in allen Formen und Größen, und ihre Ziele können erheblich variieren. Um nur die ruchlosen Bots anzusprechen, müssen Sie verstehen, welche Bedrohung ein Bot darstellen könnte.
Was ist das Ziel eines Spam-Bots?
Spam-Bots werden für verschiedene Zwecke erstellt, es gibt jedoch in der Regel drei Arten: nachrichtenorientiert, DoS und Aufklärung.
Nachrichtenorientiert
Einige Spam-Bots wurden ausdrücklich geschrieben, um eine bestimmte Nachricht zu bewerben. Sie könnten sich darauf konzentrieren, eine politische Botschaft oder eine Form von Guerilla-Marketing zu verbreiten. Diese Bots versuchen, die größtmögliche Zielgruppe zu erreichen (Maximierung der Augäpfel / des Engagements), und sie haben wahrscheinlich auch einen gemeinsamen Faden durch jede Einreichung (z. B. eine bestimmte Telefonnummer, einen bestimmten Produktnamen, eine Richtlinie oder einen Kandidaten, der beworben wird). Es ist unwahrscheinlich, dass diese Bots Ihren Server hämmern (Ihre Site herunterfahren), da dies wahrscheinlich dazu führt, dass die Verbreitung ihrer Nachricht gestoppt wird. Es ist wahrscheinlicher, dass diese Bots zwischen den Einreichungen eine gewisse Zeit warten, um eine massive Belastung Ihrer Infrastruktur zu vermeiden.
Dies sind wahrscheinlich die am wenigsten bedrohlichen Arten von Bots (wenn auch ziemlich nervig), und sie sind die häufigsten.
Das obige Beispiel zeigt einen Bot, der mit einem nachrichtenorientierten Angriff auf das Webformular einer Person abzielt. Sie scheinen für eine Art „Hack-Tool“ zu werben und spammen wiederholt einen Link zu ihrer Website.
Denial of Service (DoS)
DoS-Bots sind nicht daran interessiert, eine bestimmte Nachricht zu erhalten, sondern möchten eine Website ausschalten. Insbesondere hoffen sie, die Belastung der Ressourcen eines Servers zu maximieren. Sie neigen dazu, dies zu tun, indem sie eine erhebliche Datenmenge einreichen (z. B. Formularfelder mit der maximal zulässigen Anzahl von Zeichen ausfüllen), indem sie so viele Anfragen wie möglich einreichen (Hämmern) oder beides. Dies bedeutet, dass sie die maximale Bandbreite beanspruchen, in der Hoffnung, dass Ihr Server nicht mithalten kann. Da diese Bots (größtenteils) nicht daran interessiert sind, dass Sie sehen, was sie einreichen, können sie sogar einfaches Kauderwelsch einreichen (oder exorbitante Mengen an Leerzeichen enthalten).
Hier ist ein Beispiel dafür, welche Art von Inhalt ein DoS-Bot über ein Webformular senden würde, wie kürzlich in meinem eigenen Posteingang zu sehen war.
Sehen Sie das ganze Kauderwelsch, das der Bot eingereicht hat? Nicht gerade nützlich für ein Vertriebs- oder Marketingteam, das versucht, gültige Kundeninformationen zu sammeln. Beachten Sie auch, dass die Honeypot- und Sekunden-on-Page-Informationen unten etwas sind, das wir später in diesem Blogbeitrag ansprechen werden.
Ein DoS-Bot stellt ein mittleres Risiko für Ihre Website dar. Wenn ein DoS-Bot erfolgreich ist, kann er Benutzer auf Ihrer Website präsentieren, indem er ein Kontaktformular ausfüllt, um eine Ressource herunterzuladen, über ein Projekt zu sprechen oder eines Ihrer Produkte zu kaufen. Unterm Strich können diese Bots dazu führen, dass Sie wertvolle Leads verlieren, die an Ihren Diensten interessiert sind, und letztendlich Einnahmen verlieren.
Aufklärung
Diese letzte Motivation ist bei weitem die besorgniserregendste. Während nachrichtenorientierte Bots sich normalerweise nicht darum kümmern, Sie anzusprechen, und DoS-Bots Sie auf oberflächlichste Weise ansprechen, versuchen Aufklärungsbots (oder kurz Aufklärungsbots), Informationen speziell über Sie zu erhalten. Diese Bots fallen in der Regel in zwei Gruppen: Phishing und Exfiltration. Phishing-Aufklärungsbots zielen darauf ab, interne Mitarbeiter dazu zu bringen, mit einer ihrer Einreichungen zu interagieren. Dies kann zukünftige Möglichkeiten für Social-Engineering-Angriffe bieten (sodass ein Angreifer sich als Autoritätsperson ausgeben kann, der die Mitarbeiter vertrauen können). Exfiltration Recon-Bots konzentrieren sich stattdessen darauf, bestimmte Informationen von Ihrem System abzurufen. Diese Bots hoffen, mehr über Ihre Infrastruktur zu erfahren (z. B. um nach Schwachstellen zu suchen, die sie in Zukunft ausnutzen könnten).
Sie sind wahrscheinlich mit Phishing-E-Mail-Betrug vertraut, wie im folgenden Beispiel zu sehen ist, das kürzlich einigen Mitgliedern unseres Teams passiert ist. Die Person, die die E-Mail gesendet hat, versucht, Zugriff auf die Telefonnummern unseres Teams zu erhalten, indem sie sich als unser CEO ausgibt. Ähnliche Taktiken werden in Recon-Spam-Bots in Webformularen verwendet.
Diese Art von Bot ist so viel beängstigender als die anderen, weil es in der Regel als Auftakt zu einem viel gezielteren Angriff arbeitet, die schwieriger zu begegnen sein wird. Diese Bots versuchen, die Offenlegung von Informationen zu maximieren; Sie sind die variabelste Form von Bot: sie könnten viele Einreichungen vornehmen, um festzustellen, wie Ihr System unter bestimmten Umständen reagiert, oder sie könnten selten einreichen, um so legitim wie möglich zu erscheinen (um die Wahrscheinlichkeit einer Mitarbeiterinteraktion zu erhöhen).
Wie kann ich Spam-Bots auf meiner Website stoppen?
Zum Glück gibt es eine Vielzahl von Strategien, um alle Arten von Spam-Bots zu bekämpfen. Wir hatten großen Erfolg bei der Implementierung von Kombinationen der folgenden Strategien auf unserer eigenen Website und für unsere Kunden. Beachten Sie, dass die Anforderungen und Bedrohungsmodelle jedes Kunden unterschiedlich sind, sodass die richtige Kombination und Implementierung variieren kann. Nachfolgend finden Sie einen sehr kurzen Überblick über jede Strategie und ihre Kompromisse.
Strategie | Zugänglichkeit (höher ist besser) |
Effektivität (höher ist besser) |
Benutzerfreundlichkeit (niedriger ist besser) |
---|---|---|---|
Honeypot-Felder | Sehr hoch | Hoch | Sehr niedrig |
Geschwindigkeitsbegrenzungen | Hoch | Hoch | Niedrig-Mittel |
Autofill nicht zulassen | Niedrig | Sehr niedrig | Sehr hoch |
s | Niedrig | Mittel | Hoch |
(re/No), h | Sehr Niedrig | Sehr hoch | Sehr hoch |
Honeypot-Felder
Ein Honeypot ist ein spezielles Feld, das Ihrem Formular hinzugefügt wird und für normale Benutzer unsichtbar ist. Wir implementieren diese normalerweise über ein verstecktes Textfeld (aus Gründen der Barrierefreiheit kennzeichnen wir sie normalerweise mit „Dieses Feld nicht ausfüllen“). Alle oben genannten Bottypen fallen wahrscheinlich in diese Falle: Nachrichtenorientierte Bots füllen wahrscheinlich so viele Felder wie möglich aus, um ihre Nachricht so oft wie möglich zu wiederholen; DoS-Bots möchten keine Chance verpassen, mehr Daten zu senden. und obwohl sie legitim aussehen möchten, bedeutet die Schwierigkeit zu wissen, wann ein Feld erforderlich ist, dass Aufklärungsbots häufig auch diese unsichtbaren Felder ausfüllen. Dies bedeutet, dass es trotz seiner Einfachheit überraschend effektiv ist. Für unsere Kunden werden häufig 95% oder mehr aller eingereichten Spam-Mails verarbeitet.
Dies ist fast immer die schnellste zu implementierende Strategie (und stellt im Wesentlichen keine Nachteile dar); Dies ist unser allererster Angriffsplan zur Bekämpfung von Spam in einem bestimmten Webformular.
Geschwindigkeitsbegrenzungen
Wenn ein einfaches Honeypot-Feld nicht den gesamten Spam verarbeitet, den ein Client erhält, ist unser nächster Schritt ein Tempolimit. Sie brauchen etwas länger, um korrekt implementiert zu werden, und sie haben das Risiko (wenn sie ohne Sorgfalt implementiert werden), legitimen Datenverkehr herauszufiltern. Kurz gesagt, eine Geschwindigkeitsbegrenzung legt eine Mindestzeit fest, die auf einer Seite verbracht werden muss, bevor das Formular gesendet wird. Wir neigen dazu, dies als ein spezielles Cookie oder ein verstecktes Feld zu implementieren, das den Zeitstempel auflistet, wann die Seite geladen wurde. Wenn der Unterschied zwischen dem Zeitstempel der Einreichung und dem Zeitstempel des Seitenladens geringer ist als das eingestellte Minimum der Geschwindigkeitsbegrenzung, können wir diese Einreichung als wahrscheinlich nicht legitim kennzeichnen.
Das grundlegende Setup dieser Strategie ist genauso schnell zu implementieren wie ein Honeypot, aber Sie müssen etwas mehr Zeit damit verbringen, über den angemessenen Mindestaufwand nachzudenken (kürzere Formulare benötigen weniger Zeit zum Ausfüllen als längere). Und einige Formulare können automatisch von Webbrowsern ausgefüllt werden, die Sie in Ihrer Implementierung berücksichtigen müssen. Sobald Sie einige Zeit darüber nachgedacht haben, wie schnell ein Benutzer ein Formular vernünftigerweise senden kann, können Sie Ihr Minimum auswählen (z. B. 3 Sekunden). Wie im obigen Screenshot, der ein Beispiel für DoS-Spam zeigt, richten wir häufig die Basisinfrastruktur für ein Tempolimit ein (ohne ein Limit durchzusetzen). Dies ermöglicht es uns, einige Informationen darüber zu sammeln, wie lange typische legitime und Spam-Einsendungen dauern, und es gibt uns einen Vorsprung bei der Bestimmung eines angemessenen Minimums.
Wie Honeypot-Felder sind Geschwindigkeitsbegrenzungen nett, weil sie normalerweise schnell implementiert werden können, minimale negative Nebenwirkungen haben und überraschend effektiv sind. Da Bots Formularfelder viel schneller ausfüllen können als Menschen, filtern selbst sehr niedrige Geschwindigkeitsbegrenzungen (die wahrscheinlich keinen legitimen Datenverkehr kennzeichnen) häufig eine erhebliche Menge an Spam heraus.
Autofill deaktivieren
Viele Browser bieten die Möglichkeit, Formularfelder automatisch für Sie auszufüllen. Einige Websites versuchen, Spam zu bekämpfen, indem sie diese Funktion deaktivieren. Obwohl dies mit guten Absichten geschieht, ist dies beim Abfangen von Spam sehr ineffektiv. Dies kann entweder mit einfachem HTML oder mit Javascript implementiert werden. Wenn es mit HTML implementiert ist, können Bots es einfach ignorieren (Hinweis: Das werden sie!). Und wenn es mit Javascript implementiert wird, kann es häufig zu frustrierendem Verhalten führen, das Benutzer entfremdet (z. B. gibt es mindestens eine Website, die ein Textfeld löscht, wenn Sie es fokussieren.
Ganz zu schweigen davon, dass das automatische Ausfüllen ein enormer Vorteil für die Barrierefreiheit ist und im Allgemeinen die Lebensqualität der Benutzer verbessert. Denken Sie darüber nach — wie oft an einem Tag verwenden Sie das automatische Ausfüllen von Formularen, um sich an verschiedene Adressen, E-Mail-Adressen usw. zu erinnern? Sie würden wahrscheinlich frustriert sein, wenn diese Funktion auch weggenommen würde.
Kurz gesagt, obwohl es einfach zu implementieren ist, enthält es normalerweise viele Negative und nur sehr wenige Positive. Es ist eine Option, aber wir empfehlen unseren Kunden in der Regel, sich fernzuhalten.
s
s sind eine der ältesten Formen der Reduzierung von Bot-Spam und können auch heute noch sehr effektiv sein. A ist ein Rätsel, das ein Benutzer lösen muss, damit eine Einreichung als legitim angesehen werden kann. Eine sehr einfache Version von a würde zwei kleine Zufallszahlen generieren und den Benutzer bitten, die Summe der Zahlen in einem der Formularfelder anzugeben. Überraschenderweise sind selbst die einfachsten Formen von a effektiv (die meisten Bots sind nicht schlau genug, um solche Dinge zu lösen). Wenn ein Angriff jedoch gezielter auf Ihre Website abzielt, können selbst komplexe Angriffe unwirksam sein.
Da die meisten Bots, die durch einfache s gestoppt würden, tendenziell durch Honeypot-Felder und Geschwindigkeitsbegrenzungen herausgefiltert werden und da das Erstellen komplexer s ein weitaus größerer Aufwand ist, vermeiden wir diese Strategie normalerweise ebenfalls, mit einer großen Ausnahme …
re, Nein, und h
re ist ein Angebot von Google. Wenn Sie Nostalgie (oder tiefsitzenden Hass) für das folgende Bild haben, sind Sie mit re sehr vertraut:
Nein (auch bekannt als re v3) ist Googles neueres Angebot, etwas, das Sie wahrscheinlich überall gesehen haben. Es beginnt als einfaches Kontrollkästchen (das viele Überprüfungen im Hintergrund darstellt). Wenn eine dieser Hintergrundüberprüfungen fehlschlägt, ist eine größere Herausforderung erforderlich (häufig die Klassifizierung einer Reihe von Bildern).
Ein Neuling in diesem Bereich ist h. h funktioniert sehr ähnlich wie Googles Nein, obwohl es darauf abzielt, die Privatsphäre mehr zu respektieren als Googles Angebote.
Mit allen drei Optionen können Sie sehr komplexe Designs verwenden, ohne sie selbst entwerfen zu müssen. Es gibt drei Negative zu beachten:
- Die Verwendung eines Drittanbieters bedeutet, dass Ihre Formulare möglicherweise nicht funktionieren, wenn deren Server ausgefallen sind
- Sie erfordern Javascript und haben einige erhebliche Bedenken hinsichtlich der Barrierefreiheit
- Spezifisch für re und Nein, Google verdient Geld, indem es Benutzerdaten sammelt, die ein Datenschutzproblem darstellen (und möglicherweise ein rechtliches Problem angesichts der Allgemeinen Datenschutzverordnung und des California Consumer Privacy Act)
Dies ist in gewissem Sinne die nukleare Option. Einmal implementiert, Sie verwenden invasive Überprüfungen, um Spam sehr effektiv herauszufiltern; aber Sie erhöhen die Reibung für die Benutzer dramatisch. Diese sind eine Option offen zu halten (vor allem im Fall von unerbittlichen, laufenden Spam), aber wir neigen dazu, sie nur als letztes Mittel zu verwenden.
Um noch einmal zusammenzufassen, was wir besprochen haben:
Es gibt drei Arten von Spam-Bots, die normalerweise auf Ihre Website abzielen:
- Nachrichtenorientiert
- Denial of Service (DoS)
- Aufklärung
Es gibt eine Vielzahl von Methoden, mit denen wir Webformular-Spam auf den Websites unserer Kunden stoppen können:
- Honeypot-Felder
- Geschwindigkeitsbegrenzungen
- Autofill deaktivieren
- s
- re, No und h
Am Ende gibt es keine perfekte Lösung, um Webformular-Spam auf Ihrer Website zu stoppen, aber es gibt keine es gibt keinen Mangel an Optionen zu nutzen. Für jede Website und jedes Formular finden Sie eine Kombination von Strategien, mit denen Spam unter Kontrolle gebracht wird! Da sich Spam-Bots ständig weiterentwickeln, ist es wichtig, immer einen Schritt voraus zu sein und proaktive Strategien zu implementieren, die dazu beitragen, dass weniger Spam auf Ihre Website gelangt und Ihren Betrieb beeinträchtigt.
Möchten Sie Ihre Online-Präsenz verbessern und Ihre Website für ein großartiges Kundenerlebnis optimieren? Schauen Sie sich diese 8 Quick Wins an, um Ihre Website zu verbessern und den Traffic zu steigern!