febrero 3, 2022

Un Curso Intensivo para Combatir el Spam de Formularios Web en 2021

Si aloja cualquier sitio web que tenga un formulario de contacto incrustado en él, es probable que esté familiarizado con los robots de spam que llenan su formulario con información inútil o francamente dañina. Esto puede ser un gran dolor de cabeza (especialmente para los vendedores que están recopilando información de clientes potenciales o recopilando registros para un evento). Sin mencionar que la información incorrecta de los bots puede infiltrarse en los datos de CRM, lo que hace que los miembros de tu equipo pasen horas limpiando los datos no deseados e inflar la tasa de conversión de formularios de tu sitio web. En el peor de los casos, los robots de spam representan una amenaza para la seguridad de su sitio web, lo que puede dañar a los visitantes de su sitio y a los miembros de su organización.

Afortunadamente, hay muchas maneras de reducir este tráfico no deseado, lo que ahorra tiempo a tu equipo y les permite centrarse en clientes potenciales legítimos. Pero, cada formulario web (y el spam que recibe) es único. Para defenderse mejor, lo mejor es obtener información sobre los posibles atacantes. Tomemos un momento para pensar como un bot de spam!

¿Qué son los robots de spam?

Cloudflare define un bot como una aplicación de software programada para realizar ciertas tareas (a menudo repetitivas), que puede completar mucho más rápido que los humanos. En resumen, un bot es un programa; típicamente, uno que está escrito para hacer una tarea específica tan rápido y tantas veces como sea posible para lograr su objetivo. Tenga en cuenta también que no todos los bots son malos! Los rastreadores web que Google y Bing usan para indexar contenido para sus motores de búsqueda son probablemente algunos de los bots más prolíficos que se hayan hecho. Los robots de spam son aquellos que se escriben con el propósito expreso de enviar información (con frecuencia, a través de formularios web).

Benignos o no, los bots vienen en todas las formas y tamaños, y sus objetivos pueden variar significativamente. Para abordar solo los bots nefastos, debe comprender qué amenaza puede presentar un bot.

¿Cuál es el objetivo de un bot de spam?

Los bots de spam se crean para diversos fines, pero por lo general vienen en tres tipos: orientado a mensajes, DoS y reconocimiento.

Orientado a mensajes

Algunos robots de spam se escriben expresamente para promocionar un mensaje específico. Pueden estar enfocados en difundir un mensaje político o una forma de marketing de guerrilla. Estos bots buscan obtener la mayor audiencia posible (maximizar los ojos/el compromiso), y también es probable que tengan un hilo común en cada envío (por ejemplo, un número de teléfono específico, el nombre del producto, la política o el candidato que se promociona). Es poco probable que estos bots martillen su servidor (derriben su sitio), porque hacerlo probablemente resultará en detener la propagación de su mensaje. Es más probable que veas que estos bots esperen un poco de tiempo entre envíos para evitar una presión masiva en tu infraestructura.

Estos son probablemente los tipos de bots menos amenazantes (aunque bastante molestos), y son los más comunes.

 ejemplo de bot de spam orientado a mensajes

El ejemplo anterior es de un bot que está apuntando al formulario web de alguien con un ataque orientado a mensajes. Parecen estar promoviendo algún tipo de» herramienta de hackeo » y repetidamente enviar spam a un enlace a su sitio.

Denegación de servicio (DoS)

Los bots de DoS no están interesados en difundir un mensaje específico, su objetivo es eliminar un sitio web. Específicamente, esperan maximizar la presión sobre los recursos de un servidor. Tenderán a hacer esto enviando una cantidad significativa de datos (por ejemplo, rellenando campos de formulario con el número máximo de caracteres permitidos), enviando tantas solicitudes como sea posible (martilleo), o ambos. Hacerlo significa que están ocupando la máxima cantidad de ancho de banda con la esperanza de que su servidor no pueda seguir el ritmo. Debido a que estos bots no están interesados (en su mayor parte) en que veas lo que envían, incluso pueden enviar galimatías simples (o incluir cantidades exorbitantes de espacios en blanco).

Aquí hay un ejemplo de qué tipo de contenido enviaría un bot de DoS a través de un formulario web, como se vio recientemente en mi propia bandeja de entrada.

 formulario web ddos Software emergente de bot de spam

¿Ves todos los galimatías que envió el bot? No es exactamente útil para un equipo de ventas o marketing que intenta recopilar información válida de los clientes. También tenga en cuenta que el Honeypot y la información de segundos en la página en la parte inferior es algo que tocaremos más adelante en esta publicación del blog.

Un bot DoS presenta un nivel de riesgo medio para su sitio. Si un bot de DoS tiene éxito, puede presentar a los usuarios en su sitio desde completar un formulario de contacto hasta descargar un recurso, hablar sobre un proyecto o comprar uno de sus productos. La conclusión es que estos bots pueden hacerte perder leads valiosos que están interesados en tus servicios y, en última instancia, perder ingresos.

Reconocimiento

Esta última motivación es, con mucho, la más preocupante. Donde los bots orientados a mensajes normalmente no se preocupan por dirigirte a ti, y los bots DoS te están apuntando de la manera más superficial, los bots de reconocimiento (o reconocimiento para abreviar) están tratando de obtener información específicamente sobre ti. Estos bots tienden a dividirse en dos grupos: phishing y exfiltración. Los bots de reconocimiento de phishing tienen como objetivo que el personal interno interactúe con uno de sus envíos. Hacerlo puede ofrecer vías futuras para ataques de ingeniería social (permitiendo que un atacante se haga pasar por una figura de autoridad en la que el personal puede confiar). Los bots de reconocimiento de exfiltración se centran en recuperar información específica de su sistema. Estos bots esperan obtener más información sobre su infraestructura (por ejemplo, para investigar vulnerabilidades que podrían explotar en el futuro).

Es probable que esté familiarizado con las estafas por correo electrónico de phishing, como se ve en el siguiente ejemplo, que le sucedieron recientemente a algunos miembros de nuestro equipo. La persona que envió el correo electrónico está tratando de obtener acceso a los números de teléfono de nuestro equipo haciéndose pasar por nuestro CEO. Tácticas similares se utilizan en bots de spam de reconocimiento en formularios web.

ejemplo de phishing de reconocimiento Software emergente

Este tipo de bot es mucho más aterrador que los demás porque normalmente funciona como preludio de un ataque mucho más dirigido, que será más difícil de contrarrestar. Estos bots están tratando de maximizar la revelación de información; son la forma más variable de bots: podrían hacer muchas presentaciones para determinar cómo reacciona su sistema bajo ciertas circunstancias, o podrían enviar con poca frecuencia para parecer lo más legítimo posible (para aumentar la probabilidad de interacción del personal).

¿Cómo detengo los robots de spam en mi sitio web?

Afortunadamente, hay una amplia gama de estrategias para combatir todas las variedades de bot de spam. Hemos tenido un gran éxito implementando combinaciones de las siguientes estrategias en nuestro propio sitio web y para nuestros clientes. Tenga en cuenta que las necesidades y los modelos de amenazas de cada cliente son diferentes, por lo que la combinación y la implementación correctas variarán. A continuación se muestra un resumen muy breve de cada estrategia y sus ventajas y desventajas.

Estrategia Accesibilidad
(mayor es mejor)
Eficacia
(mayor es mejor)
Usuario de Fricción
(menor es mejor)
Honeypot Campos Muy Alto Alta Muy Baja
Los Límites De Velocidad Alta Alta Baja-Media
Rechazando El Autorrelleno Bajo Muy Baja Muy Alto
s Bajo Medio Alta
(re / No), h Muy Bajo Muy Alto Muy Alto

Campos de Honeypot

Un honeypot es un campo especial añadido a tu formulario, invisible para los usuarios normales. Por lo general, los implementamos a través de un cuadro de texto oculto (por razones de accesibilidad, generalmente los etiquetamos como «no complete este campo»). Es probable que todos los tipos de bots anteriores caigan en esta trampa: es probable que los bots orientados a mensajes llenen tantos campos como sea posible para repetir su mensaje tantas veces como sea posible; Los bots DoS no quieren perder la oportunidad de enviar más datos; y, a pesar de que quieren parecer legítimos, la dificultad de saber cuándo se requiere un campo significa que los bots de reconocimiento a menudo también llenarán estos campos invisibles. Esto significa que es sorprendentemente eficaz, a pesar de su simplicidad. Para nuestros clientes, con frecuencia maneja el 95% o más de todo el spam enviado.

Esta es casi siempre la estrategia más rápida de implementar( y esencialmente no presenta inconvenientes); este es nuestro primer plan de ataque para combatir el spam en cualquier formulario web dado.

Límites de velocidad

Si un campo simple de honeypot no maneja todo el spam que recibe un cliente, nuestro siguiente paso es un límite de velocidad. Tardan un poco más en implementarse correctamente, y tienen el riesgo (si se implementan sin cuidado) de filtrar el tráfico legítimo. En resumen, un límite de velocidad impone un tiempo mínimo requerido en una página antes de enviar el formulario. Tendemos a implementar esto como una cookie especial o un campo oculto que enumera la marca de tiempo de cuando se cargó la página. Si la diferencia entre la marca de tiempo del envío y la marca de tiempo de la carga de página es menor que el límite de velocidad mínimo establecido, podemos marcar ese envío como probablemente no legítimo.

La configuración básica de esta estrategia es tan rápida de implementar como un honeypot, pero necesita pasar un tiempo extra pensando en el tiempo mínimo razonable (los formularios más cortos tardarán menos en completarse que los más largos). Y, algunos formularios pueden ser rellenados automáticamente por navegadores web, que debe tener en cuenta en su implementación. Una vez que haya pasado algún tiempo pensando en la rapidez con la que un usuario podría enviar razonablemente un formulario, puede elegir su mínimo (por ejemplo, 3 segundos). Como en la captura de pantalla anterior que muestra un ejemplo de spam de DoS, con frecuencia configuraremos la infraestructura básica para un límite de velocidad (sin imponer ningún límite). Esto nos permite recopilar información sobre el tiempo que tardan los envíos legítimos y de spam típicos, y nos da una ventaja para determinar un mínimo razonable.

Al igual que los campos honeypot, los límites de velocidad son agradables porque generalmente se pueden implementar rápidamente, tienen efectos secundarios negativos mínimos y son sorprendentemente efectivos. Debido a que los bots pueden llenar los campos de formulario mucho más rápido que los humanos, incluso los límites de velocidad muy bajos (que es poco probable que señalen el tráfico legítimo) con frecuencia filtran una cantidad significativa de spam.

Desactivación de Autocompletar

Muchos navegadores ofrecen la posibilidad de rellenar automáticamente campos de formulario por usted. Algunos sitios intentan combatir el spam deshabilitando esta función. Si bien se hace con buenas intenciones, esto es muy ineficaz para atrapar el spam. Esto podría implementarse con HTML simple o con Javascript. Si se implementa con HTML, los bots pueden simplemente ignorarlo (nota: ¡lo harán!). Y, si se implementa con Javascript, con frecuencia puede resultar en un comportamiento frustrante que alienará a los usuarios (por ejemplo, hay al menos un sitio web que borra un cuadro de texto cuando lo enfocas, por lo que si un usuario hace clic en un campo de formulario después de escribir algo en él, se encontrarán teniendo que escribirlo nuevamente).

Sin mencionar que el autocompletar es un beneficio de accesibilidad masivo y, en general, mejora la calidad de vida de los usuarios. Piénselo: ¿cuántas veces en un día usa el autocompletar de formularios para recordar diferentes direcciones, direcciones de correo electrónico, etc.? Es probable que se sienta frustrado si esa característica también se le quita.

En resumen, aunque es fácil de implementar, generalmente viene con muchos negativos y muy pocos positivos. Es una opción, pero normalmente recomendamos a nuestros clientes que se mantengan alejados.

s

s son una de las formas más antiguas de reducir el spam de bots, y todavía pueden ser muy efectivas hoy en día. A es un acertijo que un usuario debe resolver para que un envío se considere legítimo. Una versión muy simple de a sería generar dos números pequeños y aleatorios y pedirle al usuario que dé la suma de los números en uno de los campos del formulario. Quizás sorprendentemente, incluso las formas más simples de a son efectivas (la mayoría de los bots no son lo suficientemente inteligentes para resolver este tipo de cosas). Sin embargo, si un ataque está más dirigido a su sitio, incluso los ataques más complejos pueden ser ineficaces.

 ejemplo antiguo de spam de formularios web

Debido a que la mayoría de los bots que serían detenidos por s simples tienden a ser filtrados por campos de honeypot y límites de velocidad, y debido a que construir complejos s es un esfuerzo mucho más significativo, generalmente evitamos esta estrategia también, con una excepción importante

re, No, y h

re es ofrecido por Google. Si tiene alguna nostalgia (o odio profundo) por la siguiente imagen, está muy familiarizado con re:

 ejemplo de filtro re spam

No (también conocido como re v3) es la oferta más reciente de Google, algo que probablemente hayas visto aparecer en todas partes. Comienza como una casilla de verificación simple (que representa una gran cantidad de comprobaciones que ocurren en segundo plano). Si alguna de esas verificaciones de antecedentes falla, se requiere un desafío más significativo (a menudo, clasificar un conjunto de imágenes).

 ningún ejemplo

Un recién llegado a este espacio es h. h funciona de manera muy similar al No de Google, aunque su objetivo es respetar más la privacidad que las ofertas de Google.

 h ejemplo

Las tres opciones le permiten usar s muy complejas sin tener que diseñarlas usted mismo. Hay tres aspectos negativos que hay que tener en cuenta:

  • El uso de un tercero significa que, si sus servidores no funcionan, es posible que sus formularios no funcionen
  • Requieren javascript y tienen algunos problemas de accesibilidad significativos
  • Específicos para re y No, Google gana dinero recopilando datos de usuario, lo que es una preocupación de privacidad (y posiblemente una preocupación legal, dado el Reglamento General de Protección de Datos y la Ley de Privacidad del Consumidor de California)

Estas son, en cierto sentido, la opción nuclear. Una vez implementados, están utilizando comprobaciones invasivas para filtrar el spam de manera muy efectiva; pero, aumenta drásticamente la fricción para los usuarios. Estas son una opción para mantenerlas abiertas (especialmente en el caso de spam incesante y continuo), pero tendemos a usarlas solo como último recurso.

Para recapitular lo que hemos discutido:

Hay tres tipos de robots de spam que normalmente se dirigen a su sitio web:

  1. Orientado a mensajes
  2. Denegación de servicio (DoS)
  3. Reconocimiento

Hay una amplia variedad de métodos que podemos usar para detener el spam de formularios web en los sitios de nuestros clientes:

  1. Campos Honeypot
  2. Límites de velocidad
  3. Deshabilitar el autocompletar
  4. s
  5. re, No y h

Al final, no hay una solución perfecta y única para detener el spam de formularios web en su sitio, pero no hay escasez de opciones para aprovechar. Para cada sitio web y formulario, puede encontrar una combinación de estrategias que controlarán el spam. A medida que los robots de spam continúan evolucionando, es importante mantenerse a la vanguardia e implementar estrategias proactivas que ayuden a reducir el spam que ingresa a su sitio e interfiere con sus operaciones.

¿Busca mejorar su presencia en línea y optimizar su sitio para una excelente experiencia de cliente? ¡Echa un vistazo a estas 8 victorias rápidas para mejorar tu sitio web y aumentar el tráfico!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.