Bagaimana cara kerja robot spam?

43

Saya memiliki forum yang banyak ditabrak oleh robot spam forum, dan tentu saja cara terbaik untuk mengalahkan sesuatu adalah dengan mengetahui musuh Anda. Saya akan khawatir tentang mengalahkan spambot itu nanti, tapi saat ini saya ingin tahu lebih banyak tentang mereka. Membaca sekitar, saya merasa terkejut tentang kurangnya informasi menyeluruh tentang subjek (atau mungkin ketidakmampuan saya untuk memasukkan istilah pencarian yang benar untuk hasil google yang lebih baik).

Saya tertarik mempelajari semua tentang robot spam. Saya telah bertanya di forum lain dan mendapat jawaban sapaan seperti "Spambot selalu pengguna yang mendaftar di situs Anda."

  • Bagaimana cara kerja spambot forum?
  • Bagaimana mereka menemukan halaman 'pendaftaran pengguna baru'? (Saya terutama terkejut karena beberapa forum tidak memiliki URL khusus untuk ini misalnya, www.forum.com/register.html, tetapi sebaliknya menggunakan string kueri atau bahkan metode lain yang tidak terlihat oleh bilah URL)
  • Bagaimana mereka tahu apa yang harus dimasukkan ke dalam setiap bidang 'pendaftaran pengguna baru'?
  • Bagaimana mereka menentukan halaman apa yang bisa mereka spam / masukkan data dan apa yang bukan?
  • Apakah mereka bahkan 'melihat' halaman ini sama sekali?
  • ..Jika tidak, maka saya akan berasumsi mereka berkomunikasi dengan server secara langsung - bagaimana - ini mungkin? Bagaimana mereka melakukannya?
  • Bisakah spambot forum memecahkan CAPTCHA? Bisakah mereka memecahkan pertanyaan logika (bagaimana?)? Pertanyaan matematika?
  • Apakah mereka merekayasa balik skrip validasi anti-bot sisi klien? Skrip sisi server?
  • Teknik apa yang masih berlaku untuk mencegahnya?
  • Dari mana spambot berasal? Apakah seseorang duduk di belakang komputer sambil melihat bot mereka menghancurkan situs demi situs? Atau apakah mereka terkekeh karena mereka hanya 'melepaskan' ke internet entah bagaimana? Apakah spambot 'dijalankan' oleh komputer yang terinfeksi di suatu tempat? Apakah mereka meniru diri mereka sendiri?
  • dll
rlb.usa
sumber

Jawaban:

48

Bagaimana mereka menemukan halaman 'pendaftaran pengguna baru'? (Saya terutama terkejut karena beberapa forum tidak memiliki URL khusus untuk ini misalnya, www.forum.com/register.html, tetapi sebaliknya menggunakan string kueri atau bahkan metode lain yang tidak terlihat oleh bilah URL)

Mereka menemukan situs baru dengan:

  • Merangkak dan mencari tanda tangan dari perangkat lunak yang dikenal. Biasanya ini adalah potongan teks seperti hak cipta atau tag meta tetapi bisa berupa pengidentifikasi yang konsisten. Ini biasanya berlaku untuk perangkat lunak blog dan forum.
  • Inklusi manual. Manusia, yang pekerjaannya murah di banyak bagian dunia, mencari perangkat lunak atau bentuk yang dikenal yang mudah dieksploitasi dan menambahkannya ke database. Ini biasanya berlaku untuk pendaftaran kustom dan formulir kontak.
  • Mereka membeli daftar. Sama seperti alamat email yang dijual oleh spammer, daftar situs target yang dikenal rentan atau disukai juga dijual.

Bagaimana mereka tahu apa yang harus dimasukkan ke dalam setiap bidang 'pendaftaran pengguna baru'?

Mereka tahu apa yang harus dimasukkan ke dalam setiap bidang dengan menggunakan nama bidang sebagai panduan. 99,99% dari waktu bidang alamat email bernama "email" atau sesuatu yang mengandung kata "email". Anda tidak harus menjadi ilmuwan roket untuk mengetahui bahwa bidang tersebut mungkin untuk alamat email. Untuk hal-hal seperti nama, ID masuk, alamat dll. Berfungsi dengan prinsip yang sama.

Bagaimana mereka menentukan halaman apa yang bisa mereka spam / masukkan data dan apa yang bukan?

Mereka tidak peduli. Alat otomatis dapat mencoba berbagai bentuk dalam waktu yang singkat tanpa biaya, jadi mencoba setiap bentuk yang mungkin adalah hal yang sulit dilakukan. Ketika tenaga kerja manusia terlibat, mereka dapat menjadi "skrip kiddies" dan mencoba hal-hal yang jelas untuk melihat apakah mereka mendapatkan respons apa pun yang menunjukkan bahwa formulir tersebut berpotensi rentan. Pada dasarnya, segala bentuk adalah target potensial bagi mereka seperti halnya setiap halaman yang menerima input pengguna.

Bagaimana cara kerja spambot forum?

Apakah mereka bahkan 'melihat' halaman ini sama sekali? ..Jika tidak, maka saya akan berasumsi mereka berkomunikasi dengan server secara langsung - bagaimana - ini mungkin? Bagaimana mereka melakukannya?

Dari mana spambot berasal? Apakah seseorang duduk di belakang komputer sambil melihat bot mereka menghancurkan situs demi situs? Atau apakah mereka terkekeh karena mereka hanya 'melepaskan' ke internet entah bagaimana? Apakah spambot 'dijalankan' oleh komputer yang terinfeksi di suatu tempat? Apakah mereka meniru diri mereka sendiri?

Semuanya otomatis. Alat-alat seperti xrumer dibangun, dan dijual, dan berisi kemampuan untuk mengeksploitasi perangkat lunak dengan kerentanan yang diketahui. Siapa pun dapat membelinya dan setelah memasangnya lebih atau kurang api dan lupa. Ia pergi ke setiap forum dalam daftar dan mencoba untuk spam ke kemampuan terbaiknya. Hanya karena kekuatan kasar itu berhasil dan layak untuk spammer. Itu sebabnya mereka tidak pernah berhenti. Mereka nyaris tidak perlu mengangkat jari untuk bisa bekerja.

Bisakah spambot forum memecahkan CAPTCHA? Bisakah mereka memecahkan pertanyaan logika (bagaimana?)? Pertanyaan matematika?

Ya, tapi tidak selalu. Tergantung pada seberapa baik itu diterapkan. Tetapi banyak captcha, termasuk yang ditawarkan oleh perusahaan besar, telah dipukuli dan secara efektif tidak berguna. Karena itulah diperlukan berbagai bentuk perlindungan untuk menghentikannya. Meski begitu, manusia biasanya dapat mengalahkan sistem apa pun.

Teknik apa yang masih berlaku untuk mencegahnya?

Dari jawaban sebelumnya : Anda dapat melakukan beberapa hal (dan harus melakukan lebih dari satu) termasuk:

1) Menempatkan bidang palsu yang hanya akan dilihat oleh bot. Kemudian jika bidang itu dikirimkan dengan sisa formulir, Anda dapat mengabaikannya (dan melarangnya jika diinginkan). Anda juga dapat menjebak bot jahat yang mengikuti tautan tersembunyi .

2) Gunakan CAPATCHA seperti reCAPTCHA

3) Gunakan bidang yang mengharuskan pengguna untuk menjawab pertanyaan seperti apa itu 5 + 3. Setiap manusia bisa menjawabnya tetapi bot tidak akan tahu apa yang harus dilakukan karena itu adalah bidang yang diisi secara otomatis berdasarkan nama bidang. Sehingga bidang itu akan salah atau hilang dalam hal pengajuan akan ditolak

4) Gunakan token dan masukkan ke dalam sesi dan tambahkan juga ke formulir. Jika token tidak dikirimkan dengan formulir atau tidak cocok maka itu otomatis dan dapat diabaikan.

5) Cari pengiriman berulang dari alamat IP yang sama. Jika formulir Anda seharusnya tidak mendapatkan terlalu banyak permintaan tetapi tiba-tiba itu mungkin sedang terkena bot dan Anda harus mempertimbangkan untuk sementara memblokir alamat IP.

6) Gunakan Akismet . Ini sangat bagus dalam mengidentifikasi spam.

John Conde
sumber
5
+1 untuk jawaban menyeluruh. Saya memiliki masalah spam dan menerapkan elemen formulir tersembunyi dan menyebutnya "email" / "mail" dan input alamat email asli yang saya beri nama "address". Tidak ada lagi spam!
Mar10
1
Posting yang bagus tentang cara menangani troll (idenya sama untuk robot spam): codinghorror.com/blog/2011/06/suspension-ban-or-hellban.html .
ercpe
Untuk captcha, itu tergantung pada alat apa yang mereka gunakan untuk mengalahkan mereka. Ada beberapa program perangkat lunak yang kadang-kadang (dan tidak selalu) dilewati captcha, dan kemudian ada layanan yang menggunakan tenaga murah untuk menyelesaikan captcha dan ini memiliki tingkat keberhasilan yang lebih tinggi.
ub3rst4r
11

Bagaimana cara kerja spambot forum?

Pemrogram yang berbakat (jika jahat) menulisnya - mungkin ada banyak jenis spambot yang berbeda dengan orang yang menulisnya, tetapi, sayangnya, hanya diperlukan beberapa penulis spambot yang berbagi dan menjual karya mereka untuk menghancurkan kehidupan para administrator ...

Salah satu aplikasi spamming forum populer disebut "xrumer".

Sementara saya menyadari bahwa ini tidak menjawab semua pertanyaan Anda, saya pikir itu menyebutkan bahwa apa pun yang tidak dapat dilakukan oleh bot (seperti menyelesaikan pertanyaan logika non-statis yang rumit) dapat dilakukan oleh pekerja bergaji rendah di luar negeri. Spamming adalah bisnis yang sangat mirip dengan yang lainnya dan tidak ada kekurangan tenaga kerja murah yang ditujukan untuk menempatkan pesan spam di luar sana.

danlefree
sumber
4
Saya merasa seperti baru saja menyaksikan seekor sapi diproses di pabrik daging. Tetapi sangat informatif.
rlb.usa
Video yang menarik, lucu bahwa itu dibuat malam Natal; tanggal adalah 12-25-2006 12:15 ... :-)
blunder
Ack! rupanya tidak begitu berbakat ... Program itu mengingatkan saya pada FriendBlaster (kami dulu menggunakannya di tempat kerja - saya menentangnya, tetapi bos tidak mau mendengarkan). Saya tidak meragukan jumlah waktu & usaha yang penulis masukkan ke dalam program. Tapi, jujur, tidak ada yang dilakukan adalah yang sulit untuk diimplementasikan (dan kurang diimplementasikan dalam kasus FriendBlaster). Jauh lebih mengesankan adalah para peretas dan peneliti keamanan yang mengembangkan eksploitasi dan merusak skema DRM dalam beberapa minggu setelah rilis mereka.
Lèse majesté
2

Saya membuat plugin Anti-spam untuk WordPress , itu memblokir spam yang cukup bagus tanpa Captcha atau apa pun.

Bagaimana cara kerjanya: Dua bidang tambahan ditambahkan ke formulir komentar. Pertama adalah pertanyaan tentang tahun berjalan. Kedua harus kosong. Jika pengguna mengunjungi situs, maka bidang pertama dijawab secara otomatis dengan javascript, bidang kedua dibiarkan kosong dan kedua bidang disembunyikan dan tidak terlihat oleh pengguna. Jika spammer mencoba mengirimkan formulir komentar, ia akan membuat kesalahan dengan jawaban di bidang pertama atau mencoba mengirim bidang kosong dan komentar spam akan ditolak. Pengguna tidak harus memasukkan Captcha atau apa pun untuk membuktikan itu bukan bot, semuanya dibuat oleh javascript.

Anda dapat mengunduh plugin dan menggunakan kode untuk menyelesaikan masalah dengan spam di situs Anda.

webvitaly
sumber
1
Jadi pengguna Anda perlu javascript untuk dapat mendaftar? Itu kehilangan aksesibilitas, bukan?
Augustin Riedinger
@AugustinRiedinger Plugin anti-spam dengan javascript yang dinonaktifkan berfungsi seperti pendekatan captha sederhana. Ada sekitar kurang dari 2% pengguna dengan javascript dinonaktifkan.
webvitaly
Maksud Anda, Anda akan menampilkan captcha dalam kasus itu, bukan? Saya tahu sangat sedikit pengguna di sana, tetapi saya berpikir dalam hal praktik terbaik. Baca hal - hal menarik tentang itu.
Augustin Riedinger
@AugustinRiedinger Ya, saya menunjukkan pertanyaan seperti captcha tentang tahun ini jika pengguna telah menonaktifkan javascript.
webvitaly
0

Ketika mencoba mengalahkan mereka, satu hal yang perlu saya ingat adalah bahwa tujuan mereka biasanya memposting tautan ke sebanyak mungkin situs web untuk keuntungan SEO topi hitam.

Mereka peduli tentang jumlah situs yang mereka dapatkan aksesnya, dan bukan situs Anda secara khusus. Seseorang yang hanya ingin spam hanya situs Anda saja dapat mendaftar tanpa menggunakan robot.

Dengan demikian, saya cukup yakin bahwa tes dipesan lebih dahulu yang ditulis dengan baik (mis. Pertanyaan yang akan diketahui jawabannya oleh anggota forum Anda) hampir selalu akan lebih efektif terhadap robot daripada tes pra-tertulis yang mana robot cenderung bijaksana. untuk.

Misalnya, jika robot memecahkan Recaptcha maka ia akan memiliki akses ke jutaan bentuk spam. Jika itu memecahkan tes yang dipesan lebih dahulu, maka itu hanya akan memiliki akses ke satu situs web, sehingga tidak ada spam-bot otomatis akan repot melakukan hal itu.

https://www.projecthoneypot.org dapat memberikan beberapa data yang baik untuk digunakan (mis. kata kunci dan ips untuk diblokir)

Richard B
sumber