février 3, 2022

Un Cours intensif sur la lutte contre le Spam des formulaires Web en 2021

Si vous hébergez un site Web sur lequel un formulaire de contact est intégré, il est probable que vous êtes familier avec les robots anti-spam remplissant votre formulaire avec des informations inutiles ou carrément nuisibles. Cela peut être un casse-tête (en particulier pour les spécialistes du marketing qui collectent des informations sur des clients potentiels ou recueillent des inscriptions pour un événement). Sans oublier que les mauvaises informations de bot peuvent infiltrer vos données CRM, obligeant les membres de votre équipe à passer des heures à nettoyer les données indésirables et à gonfler le taux de conversion des formulaires de votre site Web. Au pire, les robots spammeurs représentent une menace pour la sécurité de votre site Web, ce qui peut nuire aux visiteurs de votre site et aux membres de votre organisation.

Heureusement, il existe de nombreuses façons de réduire ce trafic indésirable, ce qui permet à votre équipe de gagner du temps et de se concentrer sur les prospects légitimes. Mais, chaque formulaire Web (et le spam qu’il reçoit) est unique. Pour mieux vous défendre, il est préférable d’avoir un aperçu des attaquants possibles. Prenons un moment pour penser comme un bot de spam!

Que sont les robots de spam ?

Cloudflare définit un bot comme une application logicielle programmée pour effectuer certaines tâches (souvent répétitives), qu’il peut accomplir beaucoup plus rapidement que les humains. En bref, un bot est un programme; typiquement, celui qui est écrit pour effectuer une tâche spécifique aussi rapidement et autant de fois que possible pour atteindre son objectif. Notez également que tous les robots ne sont pas mauvais! Les robots d’exploration Web que Google et Bing utilisent pour indexer le contenu de leurs moteurs de recherche sont probablement parmi les robots les plus prolifiques jamais créés. Les robots anti-spam sont les robots qui sont écrits dans le but exprès d’envoyer des informations (fréquemment, via des formulaires Web).

Bénins ou non, les robots sont de toutes formes et tailles, et leurs objectifs peuvent varier considérablement. Pour ne traiter que les robots infâmes, vous devez comprendre quelle menace un bot peut présenter.

Quel est l’objectif d’un spam bot ?

Les robots anti-spam sont créés à des fins diverses, mais ils sont généralement de trois types: orienté message, DoS et reconnaissance.

Orienté message

Certains robots anti-spam sont écrits expressément pour promouvoir un message spécifique. Ils pourraient se concentrer sur la diffusion d’un message politique ou d’une forme de marketing de guérilla. Ces robots cherchent à obtenir le plus grand public possible (maximisant les globes oculaires / l’engagement), et ils sont également susceptibles d’avoir un fil conducteur à chaque soumission (par exemple, un numéro de téléphone spécifique, un nom de produit, une politique ou un candidat promu). Il est peu probable que ces robots martèlent votre serveur (détruisent votre site), car cela entraînera probablement l’arrêt de la propagation de leur message. Vous êtes plus susceptible de voir ces robots attendre un certain temps entre les soumissions pour éviter de mettre une pression massive sur votre infrastructure.

Ce sont probablement les types de robots les moins menaçants (bien qu’assez ennuyeux), et ils sont les plus courants.

exemple de bot de spam orienté message

L’exemple ci-dessus est celui d’un bot qui cible le formulaire Web de quelqu’un avec une attaque orientée message. Ils semblent promouvoir une sorte d ‘ »outil de piratage » et spammer à plusieurs reprises un lien vers leur site.

Déni de service (DoS)

Les bots DoS ne sont pas intéressés par la diffusion d’un message spécifique, ils visent à supprimer un site Web. Plus précisément, ils espèrent maximiser la pression sur les ressources d’un serveur. Ils auront tendance à le faire en soumettant une quantité importante de données (par exemple, en remplissant des champs de formulaire avec le nombre maximum de caractères autorisés), en soumettant autant de demandes que possible (martelage), ou les deux. Cela signifie qu’ils absorbent le maximum de bande passante dans l’espoir que votre serveur ne puisse pas suivre. Parce que ces robots ne sont pas intéressés (pour la plupart) à ce que vous voyiez ce qu’ils soumettent, ils peuvent même soumettre du charabia (ou inclure des quantités exorbitantes d’espaces).

Voici un exemple du type de contenu qu’un bot DoS soumettrait via un formulaire Web, comme on l’a vu récemment dans ma propre boîte de réception.

ddos web form spam bot Logiciel émergent

Voir tout le charabia que le bot a soumis? Pas vraiment utile pour une équipe de vente ou de marketing essayant de collecter des informations client valides. Notez également que le pot de miel et les secondes sur les informations de la page en bas sont quelque chose que nous aborderons plus tard dans cet article de blog.

Un bot DoS présente un niveau de risque moyen pour votre site. Si un bot DoS réussit, il peut présenter aux utilisateurs de votre site de remplir un formulaire de contact pour télécharger une ressource, parler d’un projet ou acheter l’un de vos produits. L’essentiel est que ces robots peuvent vous faire perdre des prospects précieux qui s’intéressent à vos services et, en fin de compte, perdre des revenus.

Reconnaissance

Cette dernière motivation est, de loin, la plus inquiétante. Là où les robots orientés message ne se soucient généralement pas de vous cibler et que les robots DoS vous ciblent de la manière la plus superficielle, les robots de reconnaissance (ou de reconnaissance pour faire court) essaient d’obtenir des informations spécifiques sur vous. Ces robots ont tendance à se diviser en deux groupes : le phishing et l’exfiltration. Les robots de reconnaissance de phishing visent à amener le personnel interne à interagir avec l’une de leurs soumissions. Cela peut offrir de futures avenues pour des attaques d’ingénierie sociale (permettant à un attaquant de se faire passer pour une figure d’autorité à laquelle le personnel pourrait faire confiance). Les robots de reconnaissance d’exfiltration se concentrent plutôt sur la récupération d’informations spécifiques de votre système. Ces robots espèrent en savoir plus sur votre infrastructure (par exemple, pour rechercher des vulnérabilités qu’ils pourraient exploiter à l’avenir).

Vous êtes probablement familier avec les escroqueries par e-mail par hameçonnage, comme on le voit dans l’exemple ci-dessous, ce qui est arrivé récemment à quelques membres de notre équipe. La personne qui a envoyé l’e-mail tente d’accéder aux numéros de téléphone de notre équipe en se faisant passer pour notre PDG. Des tactiques similaires sont utilisées dans les robots de spam recon dans les formulaires Web.

exemple de logiciel émergent de recon phishing

Ce type de bot est beaucoup plus effrayant que les autres car il fonctionne généralement comme un prélude à une attaque beaucoup plus ciblée, qui sera plus difficile à contrer. Ces robots essaient de maximiser la révélation de l’information; ils sont la forme de bot la plus variable: ils pourraient faire de nombreuses soumissions pour déterminer comment votre système réagit dans certaines circonstances, ou ils pourraient se soumettre rarement pour paraître aussi près de la légitimité que possible (pour augmenter la probabilité d’interaction du personnel).

Comment arrêter les robots spammeurs sur mon site Web ?

Heureusement, il existe un large éventail de stratégies pour lutter contre toutes les variétés de robots de spam. Nous avons eu beaucoup de succès en mettant en œuvre des combinaisons des stratégies suivantes sur notre propre site Web et pour nos clients. Notez que les besoins et les modèles de menaces de chaque client sont différents, de sorte que la combinaison et la mise en œuvre correctes varieront. Vous trouverez ci-dessous un très bref aperçu de chaque stratégie et de ses compromis.

Stratégie Accessibilité
(plus haut c’est mieux) 		Efficacité
(plus haut c’est mieux) 		Friction de l’utilisateur
(plus bas c’est mieux)
Champs de Pot de miel Très élevé Élevé Très faible
Limites de vitesse Élevé Élevé Faible – Moyen
Interdire le Remplissage automatique Faible Très Faible Très élevé
s Faible Moyen Élevé
(re/ No), h Très Faible Très Élevé Très Élevé

Champs de pot de miel

Un pot de miel est un champ spécial ajouté à votre formulaire, invisible pour les utilisateurs normaux. Nous les implémentons généralement via une zone de texte masquée (pour des raisons d’accessibilité, nous les étiquetons généralement quelque chose comme « ne remplissez pas ce champ »). Tous les types de bots ci-dessus sont susceptibles de tomber dans ce piège: les bots orientés message sont susceptibles de remplir autant de champs que possible pour répéter leur message autant de fois que possible; Les bots DoS ne veulent pas manquer une chance d’envoyer plus de données; et, même s’ils veulent paraître légitimes, la difficulté de savoir quand un champ est requis signifie que les bots de reconnaissance rempliront souvent également ces champs invisibles. Cela signifie qu’il est étonnamment efficace, malgré sa simplicité. Pour nos clients, il gère fréquemment 95% ou plus de tous les pourriels soumis.

C’est presque toujours la stratégie la plus rapide à mettre en œuvre (et ne pose essentiellement aucun inconvénient); c’est notre tout premier plan d’attaque pour lutter contre le spam sur un formulaire Web donné.

Limites de vitesse

Si un simple champ honeypot ne gère pas tout le spam qu’un client reçoit, notre prochaine étape est une limite de vitesse. Ils prennent un peu plus de temps à mettre en œuvre correctement, et ils risquent (s’ils sont mis en œuvre sans précaution) de filtrer le trafic légitime. En bref, une limite de vitesse impose un temps minimum requis passé sur une page avant que le formulaire ne soit soumis. Nous avons tendance à l’implémenter comme un cookie spécial ou un champ caché qui répertorie l’horodatage du moment où la page a été chargée. Si la différence entre l’horodatage de la soumission et l’horodatage du chargement de la page est inférieure au minimum fixé par la limite de vitesse, nous pouvons signaler que cette soumission n’est probablement pas légitime.

La configuration de base de cette stratégie est tout aussi rapide à mettre en œuvre qu’un pot de miel, mais vous devez passer plus de temps à réfléchir au temps minimum raisonnable (les formulaires plus courts prendront moins de temps à remplir que les plus longs). Et, certains formulaires peuvent être remplis automatiquement par des navigateurs Web, dont vous devez tenir compte dans votre implémentation. Une fois que vous avez passé du temps à réfléchir à la vitesse à laquelle un utilisateur pourrait raisonnablement soumettre un formulaire, vous pouvez choisir votre minimum (par exemple, 3 secondes). Comme dans la capture d’écran ci-dessus montrant un exemple de spam DoS, nous allons fréquemment configurer l’infrastructure de base pour une limite de vitesse (sans imposer de limite). Cela nous permet de recueillir des informations sur la durée des soumissions légitimes et de spam typiques, et cela nous donne une longueur d’avance sur la détermination d’un minimum raisonnable.

Comme les champs de pot de miel, les limites de vitesse sont agréables car elles peuvent généralement être mises en œuvre rapidement, avoir des effets secondaires négatifs minimes et être étonnamment efficaces. Étant donné que les robots peuvent remplir les champs de formulaire beaucoup plus rapidement que les humains, même les limites de vitesse très faibles (qui sont peu susceptibles de signaler le trafic légitime) filtrent fréquemment une quantité importante de spam.

Désactivation du remplissage automatique

De nombreux navigateurs offrent la possibilité de remplir automatiquement les champs du formulaire pour vous. Certains sites tentent de lutter contre le spam en désactivant cette fonctionnalité. Bien que cela soit fait avec de bonnes intentions, cela est très inefficace pour attraper le spam. Cela pourrait être implémenté avec du HTML simple ou avec du Javascript. S’ils sont implémentés avec HTML, les bots peuvent simplement l’ignorer (remarque: ils le feront!). Et, s’il est implémenté avec Javascript, cela peut souvent entraîner un comportement frustrant qui aliénera les utilisateurs (par exemple, il existe au moins un site Web qui efface une zone de texte lorsque vous la concentrez, donc si un utilisateur clique sur un champ de formulaire après y avoir écrit quelque chose, il devra le taper à nouveau).

Sans oublier que le remplissage automatique est un avantage considérable en matière d’accessibilité et améliore généralement la qualité de vie des utilisateurs. Pensez-y – combien de fois par jour utilisez-vous le remplissage automatique des formulaires pour mémoriser différentes adresses, adresses e-mail, etc.? Vous vous sentiriez probablement frustré si cette fonctionnalité était également supprimée.

En bref, bien que facile à mettre en œuvre, il contient généralement beaucoup de points négatifs et très peu de points positifs. C’est une option, mais nous recommandons généralement à nos clients de rester à l’écart.

s

s sont l’une des formes les plus anciennes de réduction du spam de bots, et elles peuvent encore être très efficaces aujourd’hui. A est une énigme qu’un utilisateur doit résoudre pour qu’une soumission soit considérée comme légitime. Une version très simple de a consisterait à générer deux petits nombres aléatoires et à demander à l’utilisateur de donner la somme des nombres dans l’un des champs du formulaire. Peut-être étonnamment, même les formes les plus simples de a sont efficaces (la plupart des robots ne sont pas assez intelligents pour résoudre ce genre de choses). Cependant, si une attaque est plus ciblée sur votre site, même des attaques plutôt complexes peuvent être inefficaces.

ancien exemple de spam de formulaire web

Parce que la plupart des robots qui seraient arrêtés par de simples s ont tendance à être filtrés par les champs de pot de miel et les limites de vitesse, et parce que la construction de complexes s est un effort beaucoup plus important, nous évitons généralement cette stratégie, à une exception majeure –

re, No et h

re est une offre de Google. Si vous avez une nostalgie (ou une haine profonde) pour l’image suivante, vous connaissez très bien re:

exemple de filtre anti-spam

Non (également connu sous le nom de re v3) est l’offre la plus récente de Google, quelque chose que vous avez probablement vu apparaître partout. Cela commence par une simple case à cocher (cela représente beaucoup de vérifications en arrière-plan). Si l’une de ces vérifications des antécédents échoue, un défi plus important (souvent la classification d’un ensemble d’images) est nécessaire.

aucun exemple

Un nouveau venu dans cet espace est h.h fonctionne de manière très similaire au Non de Google, bien qu’il vise à respecter davantage la vie privée que les offres de Google.

h exemple

Ces trois options vous permettent d’utiliser des s très complexes sans avoir à les concevoir vous-même. Il y a trois points négatifs à prendre en compte:

  • L’utilisation d’un tiers signifie que si leurs serveurs sont en panne, vos formulaires pourraient ne pas fonctionner
  • Ils nécessitent javascript et ont des problèmes d’accessibilité importants
  • Spécifiques à re et Non, Google gagne de l’argent en récoltant des données utilisateur qui sont un problème de confidentialité (et éventuellement un problème juridique compte tenu du Règlement Général sur la Protection des Données et de la Loi californienne sur la protection des données des consommateurs)

Ce sont, en quelque sorte, l’option nucléaire. Une fois mis en œuvre, ils utilisent des contrôles invasifs pour filtrer très efficacement le spam; mais, vous augmentez considérablement la friction pour les utilisateurs. Il s’agit d’une option à garder ouverte (en particulier dans le cas de spam incessant et continu), mais nous avons tendance à ne les utiliser qu’en dernier recours.

Pour résumer ce dont nous avons discuté:

Il existe trois types de robots anti-spam qui ciblent généralement votre site Web:

  1. Orienté message
  2. Déni de service (DoS)
  3. Reconnaissance

Il existe une grande variété de méthodes que nous pouvons utiliser pour arrêter le spam des formulaires Web sur les sites de nos clients:

  1. Champs Honeypot
  2. Limites de vitesse
  3. Désactivation du remplissage automatique
  4. s
  5. re, No et h

En fin de compte, il n’y a pas de solution parfaite et unique pour arrêter le spam des formulaires Web sur votre site , mais les options à exploiter ne manquent pas. Pour chaque site Web et formulaire, vous pouvez trouver une combinaison de stratégies qui permettront de contrôler le spam! Alors que les robots anti-spam continuent d’évoluer, il est important de garder une longueur d’avance et de mettre en œuvre des stratégies proactives qui aident à réduire le spam entrant sur votre site et interférant avec vos opérations.

Vous souhaitez améliorer votre présence en ligne et optimiser votre site pour une expérience client exceptionnelle ? Découvrez ces 8 gains rapides pour améliorer votre site Web et augmenter le trafic!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.