Febbraio 3, 2022

Un corso accelerato per combattere lo spam del modulo Web nel 2021

Se ospiti un sito Web che ha un modulo di contatto incorporato su di esso, è probabile che tu abbia familiarità con i bot spam che compilano il modulo con informazioni inutili o addirittura dannose. Questo può essere un bel mal di testa (specialmente per i marketer che stanno raccogliendo informazioni sui potenziali clienti o raccogliendo registrazioni per un evento). Per non parlare, le informazioni bot cattivi possono infiltrarsi i dati CRM causando i membri del team di trascorrere ore a ripulire i dati indesiderati e gonfiare il tasso di conversione modulo del tuo sito web. Nel peggiore dei casi, i bot spam rappresentano una minaccia per la sicurezza del tuo sito Web, che può danneggiare i visitatori del tuo sito e i membri della tua organizzazione.

Fortunatamente, ci sono molti modi per ridurre questo traffico indesiderato che consente di risparmiare tempo alla tua squadra e consente loro di concentrarsi su lead legittimi. Ma, ogni webform (e lo spam che ottiene) è unico. Per difendersi meglio, è meglio avere una visione dei possibili aggressori. Prendiamoci un momento per pensare come un bot spam!

Che cosa sono i bot spam?

Cloudflare definisce un bot come un’applicazione software programmata per eseguire determinate attività (spesso ripetitive), che può completare molto più velocemente degli umani. In breve, un bot è un programma; in genere, uno che è scritto per fare un compito specifico il più rapidamente e il maggior numero di volte possibile per raggiungere il suo obiettivo. Si noti inoltre che non tutti i bot sono cattivi! I web crawler che Google e Bing utilizzano per indicizzare i contenuti per i loro motori di ricerca sono probabilmente alcuni dei bot più prolifici mai realizzati. I bot spam sono quei bot che vengono scritti allo scopo esplicito di inviare informazioni (spesso, tramite moduli web).

Benigni o no, i bot sono disponibili in tutte le forme e dimensioni e i loro obiettivi possono variare in modo significativo. Per affrontare solo i bot nefasti, è necessario capire quale minaccia potrebbe presentare un bot.

Qual è l’obiettivo di un bot spam?

I bot spam vengono creati per vari scopi, ma in genere sono di tre tipi: orientato ai messaggi, DoS e ricognizione.

Message-Oriented

Alcuni bot spam sono scritti espressamente per promuovere un messaggio specifico. Potrebbero essere concentrati su come ottenere un messaggio politico o una forma di guerriglia marketing. Questi bot stanno cercando di ottenere il pubblico più ampio possibile (massimizzando i bulbi oculari/l’impegno), e sono anche suscettibili di avere un filo comune che attraversa ogni invio (ad esempio, un numero di telefono specifico, nome del prodotto, politica o candidato che viene promosso). È improbabile che questi bot martellino il tuo server (abbattono il tuo sito), perché in questo modo probabilmente si fermerà la diffusione del loro messaggio. È più probabile che questi bot attendano un po ‘ di tempo tra le presentazioni per evitare di mettere a dura prova la tua infrastruttura.

Questi sono probabilmente i tipi di bot meno minacciosi (anche se piuttosto fastidiosi) e sono i più comuni.

esempio di bot spam orientato ai messaggi

L’esempio sopra è di un bot che sta prendendo di mira il modulo Web di qualcuno con un attacco orientato ai messaggi. Sembrano promuovere una sorta di” strumento di hacking ” e ripetutamente spammare un link al loro sito.

Denial of Service (DoS)

I bot DoS non sono interessati a ricevere un messaggio specifico, mirano a distruggere un sito web. In particolare, sperano di massimizzare la tensione sulle risorse di un server. Tenderanno a farlo inviando una quantità significativa di dati (ad esempio, compilando i campi del modulo con il numero massimo di caratteri consentiti), inviando il maggior numero possibile di richieste (martellamento) o entrambi. In questo modo significa che stanno occupando la massima quantità di larghezza di banda nella speranza che il tuo server non possa tenere il passo. Poiché questi bot non sono interessati (per la maggior parte) a vedere ciò che inviano, possono persino inviare parole senza senso (o includere quantità esorbitanti di spazi bianchi).

Ecco un esempio del tipo di contenuto che un bot DoS invierebbe tramite un modulo Web, come visto di recente nella mia casella di posta.

ddos web form spam bot Software emergente

Vedi tutte le incomprensioni che il bot inviato? Non esattamente utile per un team di vendita o marketing che cerca di raccogliere informazioni valide sui clienti. Si noti inoltre che l’Honeypot e i secondi sulle informazioni sulla pagina in basso sono qualcosa che toccheremo più avanti in questo post del blog.

Un bot DoS presenta un livello medio di rischio per il tuo sito. Se un bot DoS ha successo, può presentare agli utenti sul tuo sito la compilazione di un modulo di contatto per scaricare una risorsa, parlare di un progetto o acquistare uno dei tuoi prodotti. La linea di fondo è che questi bot possono farti perdere preziosi lead che sono interessati ai tuoi servizi e, infine, perdere entrate.

Ricognizione

Quest’ultima motivazione è, di gran lunga, la più preoccupante. Dove i bot orientati ai messaggi in genere non si preoccupano di prenderti di mira e i bot DoS ti prendono di mira nel modo più superficiale, i bot di ricognizione (o ricognizione in breve) stanno cercando di ottenere informazioni specifiche su di te. Questi bot tendono a cadere in due gruppi: phishing, e l’esfiltrazione. I robot di ricognizione di phishing mirano a far interagire il personale interno con uno dei loro contributi. Ciò potrebbe offrire future vie per attacchi di ingegneria sociale (consentendo a un utente malintenzionato di impersonare una figura di autorità di cui il personale potrebbe fidarsi). I bot di ricognizione di esfiltrazione sono invece focalizzati sul recupero di informazioni specifiche dal sistema. Questi bot sperano di saperne di più sulla tua infrastruttura (ad esempio, per sondare le vulnerabilità che potrebbero sfruttare in futuro).

Probabilmente hai familiarità con le truffe e-mail di phishing, come si vede nell’esempio seguente, che è accaduto di recente ad alcuni membri del nostro team. La persona che ha inviato l’e-mail sta cercando di ottenere l’accesso ai numeri di telefono del nostro team impersonando il nostro CEO. Tattiche simili sono utilizzate nei bot di spam di ricognizione nei moduli web.

recon phishing example Emergent Software

Questo tipo di bot è molto più spaventoso degli altri perché in genere funziona come preludio a un attacco molto più mirato, che sarà più difficile da contrastare. Questi bot stanno cercando di massimizzare la rivelazione di informazioni; sono la forma più variabile di bot: potrebbero fare molte osservazioni per determinare come il sistema reagisce in determinate circostanze, o potrebbero presentare raramente per apparire il più vicino possibile al legittimo (per aumentare la probabilità di interazione del personale).

Come faccio a fermare i bot spam sul mio sito web?

Per fortuna, ci sono una vasta gamma di strategie per combattere tutte le varietà di bot spam. Abbiamo avuto un grande successo nell’implementazione di combinazioni delle seguenti strategie sul nostro sito web e per i nostri clienti. Si noti che le esigenze e i modelli di minaccia di ogni cliente sono diversi, quindi la combinazione e l’implementazione corrette varieranno. Di seguito è riportata una breve panoramica di ciascuna strategia e dei suoi compromessi.

Strategia Accessibilità
(maggiore è meglio)		 Efficacia
(maggiore è meglio)		 Utente Attrito
(meno è, meglio è)
Honeypot Campi Molto Alta Alta Molto Basso
Limiti Di Velocità Alta Alta Medio-Bassa
Impedire Il Riempimento Automatico Basso Scarso Molto Alta
s Basso Medie Alta
(re/No), h Molto basso Molto alto Molto alto

Honeypot Fields

Un honeypot è un campo speciale aggiunto al modulo, invisibile agli utenti normali. In genere li implementiamo attraverso una casella di testo nascosta (per motivi di accessibilità, di solito li etichettiamo come “non compilare questo campo”). Tutti i tipi di bot di cui sopra sono suscettibili di cadere per questa trappola: bot orientati ai messaggi sono suscettibili di compilare il maggior numero possibile di campi per ripetere il loro messaggio il maggior numero di volte possibile; I bot DoS non vogliono perdere l’occasione di inviare più dati; e, anche se vogliono sembrare legittimi, la difficoltà di sapere quando è richiesto un campo significa che i bot di ricognizione spesso riempiono anche questi campi invisibili. Ciò significa che è sorprendentemente efficace, nonostante la sua semplicità. Per i nostri clienti, gestisce spesso il 95% o più di tutto lo spam inviato.

Questa è quasi sempre la strategia più veloce da implementare (e non pone essenzialmente alcun lato negativo); questo è il nostro primo piano di attacco per combattere lo spam su qualsiasi modulo web.

Limiti di velocità

Se un semplice campo honeypot non gestisce tutto lo spam che un client riceve, il nostro prossimo passo è un limite di velocità. Impiegano un po ‘ più tempo per implementare correttamente e hanno il rischio (se implementato senza cura) di filtrare il traffico legittimo. In breve, un limite di velocità impone un tempo minimo richiesto trascorso su una pagina prima che il modulo venga inviato. Tendiamo a implementarlo come un cookie speciale o un campo nascosto che elenca il timestamp di quando la pagina è stata caricata. Se la differenza tra il timestamp dell’invio e il timestamp del caricamento della pagina è inferiore al minimo impostato dal limite di velocità, possiamo contrassegnare tale invio come probabile che non sia legittimo.

La configurazione di base di questa strategia è altrettanto veloce da implementare come un honeypot, ma è necessario dedicare un po ‘ di tempo in più a pensare alla spesa minima ragionevole (i moduli più brevi richiedono meno tempo per essere compilati rispetto a quelli più lunghi). Inoltre, alcuni moduli possono essere compilati automaticamente dai browser Web, che è necessario tenere conto nella propria implementazione. Una volta trascorso un po ‘ di tempo a pensare a quanto velocemente un utente potrebbe ragionevolmente inviare un modulo, è possibile scegliere il minimo (ad esempio, 3 secondi). Come nello screenshot qui sopra che mostra un esempio di spam DoS, spesso impostiamo l’infrastruttura di base per un limite di velocità (senza imporre alcun limite). Questo ci permette di raccogliere alcune informazioni su quanto tempo tipico invio legittimo e spam prendere, e ci dà un vantaggio sulla determinazione di un minimo ragionevole.

Come i campi honeypot, i limiti di velocità sono piacevoli perché di solito possono essere implementati rapidamente, avere effetti collaterali negativi minimi ed essere sorprendentemente efficaci. Poiché i bot possono compilare i campi del modulo molto più velocemente degli umani, anche i limiti di velocità molto bassi (che è improbabile che segnalino il traffico legittimo) spesso filtrano una quantità significativa di spam.

Disabilitazione del riempimento automatico

Molti browser offrono la possibilità di compilare automaticamente i campi del modulo per te. Alcuni siti cercano di combattere lo spam disabilitando questa funzione. Mentre fatto con buone intenzioni, questo è molto inefficace a catturare lo spam. Questo potrebbe essere implementato con HTML semplice o con Javascript. Se implementato con HTML, i bot possono semplicemente ignorarlo (nota: lo faranno!). E, se implementato con Javascript, può spesso provocare un comportamento frustrante che alienerà gli utenti (ad esempio, c’è almeno un sito web là fuori che cancella una casella di testo quando la metti a fuoco, quindi se un utente fa mai clic su un campo modulo dopo aver scritto qualcosa in esso, si troveranno a dover digitare di nuovo).

Per non parlare, il riempimento automatico è un enorme vantaggio di accessibilità e generalmente migliora la qualità della vita degli utenti. Pensaci-quante volte in un giorno usi il riempimento automatico del modulo per ricordare indirizzi diversi, indirizzi e-mail, ecc.? Probabilmente ti sentiresti frustrato se anche quella funzione fosse stata portata via.

In breve, anche se facile da implementare, di solito viene fornito con molti negativi e pochissimi positivi. È un’opzione, ma in genere consigliamo ai nostri clienti di stare alla larga.

s

s sono una delle più antiche forme di riduzione dello spam bot e possono ancora essere molto efficaci oggi. A è un enigma che un utente deve risolvere affinché una presentazione sia considerata legittima. Una versione molto semplice di a genererebbe due piccoli numeri casuali e chiede all’utente di fornire la somma dei numeri in uno dei campi del modulo. Forse sorprendentemente, anche le forme più semplici di a sono efficaci (la maggior parte dei bot non è in realtà abbastanza intelligente da risolvere questo tipo di cose). Tuttavia, se un attacco è più mirato al tuo sito, anche s piuttosto complessi possono essere inefficaci.

vecchio esempio di modulo web di spam

Poiché la maggior parte dei bot che sarebbe fermato da semplice s tendono ad essere filtrati dal honeypot campi e limiti di velocità, in quanto la costruzione di complessi s è un notevole sforzo, noi di solito evitare questa strategia e, con una sola eccezione importante…

re, No, e h

re, offerti da Google. Se avete nostalgia (o odio profondo) per la seguente immagine, si ha molta familiarità con re:

re esempio di filtro antispam

No (noto anche come re v3) è l’offerta più recente di Google, qualcosa che probabilmente hai visto spuntare ovunque. Inizia come una semplice casella di controllo (che rappresenta molti controlli in background). Se uno di questi controlli in background fallisce, è necessaria una sfida più significativa (spesso classificando un insieme di immagini).

nessun esempio

Un nuovo arrivato in questo spazio è h. h funziona in modo molto simile al No di Google anche se mira ad essere più rispettoso della privacy rispetto alle offerte di Google.

h esempio

Tutte e tre queste opzioni consentono di utilizzare s molto complessi senza doverli progettare da soli. Ci sono tre aspetti negativi di cui essere a conoscenza:

  • l’Utilizzo di un terzo significa che se i server sono down, i moduli potrebbero non funzionare
  • richiedono javascript e sono importanti per l’accessibilità riguarda
  • Specifico per re e No, Google fa i soldi facendo la raccolta di dati utente che è una preoccupazione sulla privacy (e, possibilmente, di un legale preoccupazione dato il Generale Regolamento sulla Protezione dei Dati e la California Consumatore Legge sulla Privacy)

Questi sono, in un certo senso, l’opzione nucleare. Una volta implementati, utilizzano controlli invasivi per filtrare lo spam in modo molto efficace; ma, si aumenta notevolmente l’attrito per gli utenti. Questi sono un’opzione da tenere aperta (specialmente nel caso di spam implacabile e continuo), ma tendiamo a usarli solo come ultima risorsa.

Per ricapitolare quello che abbiamo discusso:

Ci sono tre tipi di bots spam che, in genere, target del tuo sito web:

  1. Message-Oriented
  2. DoS (Denial of Service)
  3. Ricognizione

Ci sono una varietà di metodi che si possono utilizzare per interrompere modulo web di spam su i siti dei nostri clienti:

  1. Honeypot fields
  2. Limiti di velocità
  3. Disabilitazione del riempimento automatico
  4. s
  5. re, No e h

Alla fine, non esiste una soluzione perfetta, adatta a tutti per fermare lo spam del modulo web sul tuo sito, ma non c’è carenza di opzioni per sfruttare. Per ogni sito web e modulo, è possibile trovare una combinazione di strategie che otterrà lo spam sotto controllo! Poiché i bot spam continuano ad evolversi, è importante rimanere all’avanguardia e implementare strategie proattive che aiutino a ridurre lo spam che entra nel tuo sito e interferisce con le tue operazioni.

Vuoi migliorare la tua presenza online e ottimizzare il tuo sito per una grande esperienza del cliente? Dai un’occhiata a questi 8 vittorie veloci per migliorare il tuo sito web e aumentare il traffico!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.