Fevereiro 3, 2022

Um Curso intensivo para Combater a Web Form Spam em 2021

Se você hospedar qualquer site que tenha um formulário de contato incorporado nele, as chances são de que você está familiarizado com spam bots preencher o formulário com inútil ou até prejudicial informações. Isso pode ser uma grande dor de cabeça (especialmente para profissionais de marketing que estão coletando informações de clientes em potencial ou reunindo inscrições para um evento). Sem mencionar que as informações do Bad bot podem se infiltrar nos dados do CRM, fazendo com que os membros da sua equipe passem horas limpando os dados indesejados e inflando a taxa de conversão de formulário do seu site. Na pior das hipóteses, os bots de spam apresentam uma ameaça à segurança do seu site, o que pode prejudicar os visitantes do site e os membros da sua organização.

Felizmente, Existem muitas maneiras de reduzir esse tráfego indesejado, o que economiza tempo da sua equipe e permite que eles se concentrem em leads legítimos. Mas, cada webform (e o spam que recebe) é único. Para se defender melhor, é melhor obter algumas informações sobre os possíveis atacantes. Vamos dar um momento para pensar como um bot de spam!

o que são bots de spam?Cloudflare define um bot como um aplicativo de software programado para fazer certas tarefas (muitas vezes repetitivas), que pode ser concluído muito mais rápido do que os humanos. Em suma, um bot é um programa; normalmente, um que é escrito para fazer uma tarefa específica o mais rápido e tantas vezes quanto possível para atingir seu objetivo. Observe também que nem todos os bots são ruins! Os rastreadores da web que o Google e o Bing usam para indexar conteúdo para seus mecanismos de pesquisa são provavelmente alguns dos bots mais prolíficos já feitos. Bots de Spam são aqueles bots que são escritos com o propósito expresso de enviar informações (frequentemente, via formulários da web).Benignos ou não, os bots vêm em todas as formas e tamanhos, e seus objetivos podem variar significativamente. Para abordar apenas os bots nefastos, você precisa entender qual ameaça um bot pode apresentar.

Qual é o objetivo de um spam bot?

bots de Spam são criados para vários fins, mas eles normalmente vêm em três tipos: orientado a mensagens, DoS e reconhecimento.

orientado a mensagens

alguns bots de spam são escritos expressamente para promover uma mensagem específica. Eles podem estar focados em divulgar uma mensagem política ou uma forma de marketing de guerrilha. Esses bots estão procurando obter o maior público possível (maximizando os globos oculares/engajamento) e também provavelmente terão um thread comum em execução em cada envio (por exemplo, um número de telefone específico, nome do produto, política ou candidato que está sendo promovido). É improvável que esses bots martelem seu servidor (leve seu site para baixo), porque isso provavelmente resultará em parar a propagação de sua mensagem. É mais provável que esses bots esperem algum tempo entre os envios para evitar sobrecarregar sua infraestrutura.

estes são provavelmente os tipos menos ameaçadores de bots (embora bastante irritantes), e eles são os mais comuns.

exemplo de bot de spam orientado a mensagens

o exemplo acima é de um bot que tem como alvo o formulário da web de alguém com um ataque orientado a mensagens. Eles parecem estar promovendo algum tipo de” Ferramenta de hack ” e repetidamente spam um link para o seu site.

negação de Serviço (DoS)

os bots DoS não estão interessados em obter uma mensagem específica, eles estão com o objetivo de derrubar um site. Especificamente, eles esperam maximizar a tensão nos recursos de um servidor. Eles tenderão a fazer isso enviando uma quantidade significativa de dados (por exemplo, preenchendo campos de formulário com o número máximo de caracteres permitidos), enviando o maior número possível de solicitações (martelando) ou ambos. Isso significa que eles estão ocupando a quantidade máxima de largura de banda na esperança de que seu servidor não consiga acompanhar. Como esses bots não estão interessados (na maior parte) em você ver o que eles enviam, eles podem até enviar jargões simples (ou incluir quantidades exorbitantes de espaço em branco).

aqui está um exemplo de que tipo de conteúdo um bot DoS enviaria por meio de um formulário da web, como visto recentemente em minha própria caixa de entrada.

DDoS web form spam bot software emergente

veja todos os gibberish que o bot enviou? Não é exatamente útil para uma equipe de vendas ou marketing tentando coletar informações válidas do cliente. Observe também que o Honeypot e os segundos nas informações da página na parte inferior são algo que abordaremos mais adiante nesta postagem do blog.

um dos bot apresenta um nível médio de risco para o seu site. Se um DoS bot for bem-sucedido, ele pode apresentar aos usuários em seu site o preenchimento de um formulário de contato para baixar um recurso, falar sobre um projeto ou comprar um de seus produtos. A linha inferior é que esses bots podem fazer você perder leads valiosos que estão interessados em seus serviços e, finalmente, perder receita.

reconhecimento

esta última motivação é, de longe, a mais preocupante. Onde os bots orientados a mensagens normalmente não se importam em direcioná-lo, e os bots DoS estão direcionando você da maneira mais superficial, os bots de reconhecimento (ou reconhecimento para abreviar) estão tentando obter informações especificamente sobre você. Esses bots tendem a se enquadrar em dois grupos: phishing e exfiltração. Os bots de reconhecimento de Phishing têm como objetivo fazer com que a equipe interna interaja com um de seus envios. Isso pode oferecer caminhos futuros para ataques de engenharia social (permitindo que um invasor se faça passar por uma figura de autoridade em quem a equipe possa confiar). Os bots de reconhecimento de exfiltração estão focados em recuperar informações específicas do seu sistema. Esses bots esperam saber mais sobre sua infraestrutura (por exemplo, para investigar vulnerabilidades que eles poderiam explorar no futuro).

você provavelmente está familiarizado com golpes de E-mail de phishing, como visto no exemplo abaixo, que aconteceu recentemente com alguns membros de nossa equipe. A pessoa que enviou o e-mail está tentando obter acesso aos números de telefone da nossa equipe, personificando nosso CEO. Táticas semelhantes são usadas em bots de spam de reconhecimento em formulários da web.

recon phishing exemplo Software emergente

este tipo de bot é muito mais assustador do que os outros porque normalmente opera como um prelúdio para um ataque muito mais direcionado, que será mais difícil de combater. Esses bots estão tentando maximizar a revelação de informações; eles são a forma mais variável de bot: eles podem fazer muitos envios para determinar como seu sistema reage sob certas circunstâncias, ou eles podem enviar com pouca frequência para parecer o mais próximo possível do legítimo (para aumentar a probabilidade de Interação da equipe).

Como faço para parar bots de spam no meu site?

felizmente, há uma grande variedade de estratégias para combater todas as variedades de spam bot. Tivemos grande sucesso implementando combinações das seguintes estratégias em nosso próprio site e para nossos clientes. Observe que as necessidades e os modelos de ameaças de cada cliente são diferentes, portanto, a combinação e a implementação corretas variam. Abaixo está uma visão geral muito breve de cada estratégia e suas compensações.

Estratégia Acessibilidade
(maior é melhor)
Eficácia
(maior é melhor)
Usuário Atrito
(menor é melhor)
Honeypot Campos Muito Alta Alta Muito Baixo
Limites De Velocidade Alta Alta Baixo-Médio
Não Permitir O Preenchimento Automático Baixo Muito Baixo Muito Alta
s Baixo Médio Alta
(re/Não), h Muito Baixo Muito Alta Muito Alta

Honeypot Campos

Um honeypot é um campo especial adicionado à sua forma, invisível para os usuários normais. Normalmente os implementamos por meio de uma caixa de texto oculta (por motivos de acessibilidade, geralmente os rotulamos como “não preencha este campo”). Todos os tipos de bots acima provavelmente cairão nessa armadilha: os bots orientados a mensagens provavelmente preencherão o maior número possível de campos para repetir sua mensagem o máximo de vezes possível; Os bots do DoS não querem perder a chance de enviar mais dados; e, mesmo que eles queiram parecer legítimos, a dificuldade de saber quando um campo é necessário significa que os bots do Recon também preencherão esses campos invisíveis. Isso significa que é surpreendentemente eficaz, apesar de sua simplicidade. Para os nossos clientes, lida frequentemente com 95% ou mais de todo o spam enviado.

esta é quase sempre a estratégia mais rápida de implementar (e não representa essencialmente nenhum lado negativo); este é o nosso primeiro plano de ataque para combater spam em qualquer formulário da web.

limites de Velocidade

se um campo honeypot simples não lidar com todo o spam que um cliente está recebendo, o nosso próximo passo é um limite de velocidade. Eles demoram um pouco mais para implementar corretamente e correm o risco (se implementados sem cuidado) de filtrar o tráfego legítimo. Em suma, um limite de velocidade impõe um tempo mínimo necessário gasto em uma página antes que o formulário seja enviado. Tendemos a implementar isso como um cookie especial ou um campo oculto que lista o carimbo de data / hora de quando a página foi carregada. Se a diferença entre o carimbo de data / hora do envio e o carimbo de data / hora do Carregamento da página for menor do que o mínimo definido pelo limite de velocidade, podemos sinalizar que o envio provavelmente não é legítimo.

a configuração básica dessa estratégia é tão rápida de implementar quanto um honeypot, mas você precisa gastar algum tempo extra pensando no tempo mínimo razoável (formulários mais curtos levarão menos tempo para preencher do que os mais longos). E, alguns formulários podem ser preenchidos automaticamente por navegadores da web, que você precisa contabilizar em sua implementação. Depois de passar algum tempo pensando em quão rápido um usuário poderia razoavelmente enviar um formulário, você pode escolher o seu mínimo (por exemplo, 3 segundos). Como na captura de tela acima demonstrando um exemplo de spam do DoS, frequentemente configuraremos A infraestrutura básica para um limite de velocidade (sem impor nenhum limite). Isso nos permite coletar algumas informações sobre quanto tempo os envios legítimos e de spam típicos levam, e isso nos dá uma vantagem inicial na determinação de um mínimo razoável.

como os campos de honeypot, os limites de velocidade são bons porque geralmente podem ser implementados rapidamente, têm efeitos colaterais negativos mínimos e são surpreendentemente eficazes. Como os bots podem preencher campos de formulário muito mais rápido do que os humanos, mesmo limites de velocidade muito baixos (que dificilmente sinalizam tráfego legítimo) freqüentemente filtram uma quantidade significativa de spam.

desativar o preenchimento automático

muitos navegadores oferecem a capacidade de preencher automaticamente os campos do formulário para você. Alguns sites tentam combater o spam desativando esse recurso. Embora feito com boas intenções, isso é muito ineficaz na captura de spam. Isso pode ser implementado com HTML simples ou com Javascript. Se implementado com HTML, os bots podem simplesmente ignorá-lo (nota: eles vão!). E, se implementado com Javascript, pode frequentemente resultar em comportamento frustrante que alienará os usuários (por exemplo, há pelo menos um site por aí que limpa uma caixa de texto quando você a concentra, então se um usuário clicar em um campo de formulário depois de escrever algo nele, eles terão que digitá-lo novamente).

para não mencionar, o preenchimento automático é um enorme benefício de acessibilidade e geralmente melhora a qualidade de vida dos usuários. Pense nisso – quantas vezes por dia você usa o preenchimento automático do formulário para lembrar endereços diferentes, endereços de E-mail, etc? Você provavelmente se sentiria frustrado se esse recurso também fosse retirado.

em suma, embora fácil de implementar, geralmente vem com muitos negativos e muito poucos aspectos positivos. É uma opção, mas normalmente recomendamos que nossos clientes se afastem.

s

s são uma das formas mais antigas de reduzir o spam de bots e ainda podem ser muito eficazes hoje. A é como um enigma que um usuário deve resolver para que um envio seja considerado legítimo. Uma versão muito simples de a seria gerar dois números pequenos e aleatórios e pedir ao usuário que desse a soma dos números em um dos campos do formulário. Talvez surpreendentemente, mesmo as formas mais simples de A são eficazes (a maioria dos bots não é realmente inteligente o suficiente para resolver esse tipo de coisa). Contudo, se um ataque for mais direcionado ao seu site, mesmo s bastante complexos podem ser ineficazes.

antigo exemplo de formulário da web spam

Porque a maioria dos bots que seria interrompido por simples s tendem a ser filtrado pelo honeypot campos e limites de velocidade, e porque a construção de complexos s é muito mais esforço significativo, que geralmente se evitar esta estratégia, bem como, com uma grande exceção…

re, Não, e h

re é uma oferecidos pelo Google. Se você tem alguma nostalgia (ou ódio profundo) pela imagem a seguir, você está muito familiarizado com:

re exemplo de filtro de spam

Não (também conhecido como re v3) é a oferta mais recente do Google, algo que você provavelmente viu aparecendo em todos os lugares. Ele começa como uma caixa de seleção simples (que representa muitas verificações acontecendo em segundo plano). Se alguma dessas verificações de antecedentes falhar, é necessário um desafio mais significativo (muitas vezes classificando um conjunto de imagens).

nenhum exemplo

Um recém-chegado a este espaço é h. h funciona de forma muito semelhante ao Google há que pretende ser mais privacidade, respeitando-se de opções do Google.

 h exemplo

todas as três opções permitem que você use s muito complexos sem ter que projetá-los você mesmo. Existem três pontos negativos a serem observados:

  • Usando um terceiro significa que, se os servidores estão em baixo, os formulários podem não funcionar
  • Eles exigem que o programa javascript e ter alguns significativo de acessibilidade preocupações
  • Específico para voltar e Não, o Google faz dinheiro pela colheita de dados de usuários que é uma preocupação de privacidade (e, possivelmente, um legais preocupação Geral de Protecção de Dados Regulamento e na Califórnia do Consumidor Lei de Privacidade)

Estas são, em algum sentido, a opção nuclear. Uma vez implementados, eles estão usando verificações invasivas para filtrar spam de forma muito eficaz; mas, você aumenta drasticamente o atrito para os usuários. Estas são uma opção para se manter aberto (especialmente no caso de spam implacável e contínuo), mas tendemos a usá-las apenas como último recurso.

Para recapitular o que discutimos:

Existem três tipos de spam bots que, normalmente, alvo de seu site:

  1. Orientado a Mensagem
  2. Negação de Serviço (DoS)
  3. Reconhecimento

Há uma grande variedade de métodos que pode utilizar para parar web form spam em nossos clientes sites:

  1. Honeypot campos
  2. limites de Velocidade
  3. Desativar o preenchimento automático
  4. s
  5. re, N e h

No final, não é perfeito, one-size-fits-all solução para parar web form spam no seu site, mas não há falta de opções para alavancagem. Para cada site e formulário, você pode encontrar uma combinação de estratégias que irão controlar o spam! À medida que os bots de spam continuam a evoluir, é importante ficar à frente da curva e implementar estratégias proativas que ajudem a reduzir o spam que entra no seu site e interfere nas suas operações.

procurando melhorar sua presença online e otimizar seu site para uma ótima experiência do cliente? Confira essas 8 vitórias rápidas para melhorar seu site e aumentar o tráfego!

Deixe uma resposta

O seu endereço de email não será publicado.