Seit kurzem erhalte ich von meiner Website eine zunehmende Zahl von Spam-Bestellungen. Und das trotz Captcha.
Man erkennt sie an unplausiblen Daten und daran, dass einige Angaben nicht vorhanden sind, stattdessen Links auf irgendwelche Webseiten (denen ich natürlich nicht folge), teilweise auch völlig wirre Binärdaten (vermutlich chinesische oder koreanische Unicode-Zeichen).
Zwei oder drei solcher Fake Orders pro Tag würde ich ertragen, ohne Handlungsbedarf zu sehen. Aber es sind einige mehr, und sie drohen echte Bestellungen zu überdecken.
Es scheint, als ob ein Bot die Felder ausfüllt, aber die Captchas von echten Menschen gelöst werden. Javascript scheint disabled zu sein, denn einige Pflichtangaben fehlen, die sonst im Browser client-seitig validiert werden.
Die Bestellungen kommen von unterschiedlichen IP-Adressen, so dass eine deny-Anweisung in der .htaccess nichts nützen würde.
Ich habe jetzt versucht, gewisse POST-Daten server-seitig auszuwerten, und ggf. das PHP-Script abzubrechen. Das hat aber bisher nicht funktioniert.
Eventuell könnte ich auch den Referrer abfragen, oder die Validierung server-seitig ausführen. Ich scheue mich aber noch vor dem Aufwand der Umstellung, da es keine Garantie gibt, dass das dann funktioniert, oder unvorhersehbare Seiteneffekte auftreten könnten. Schließlich habe ich keine Möglichkeit, das unter Realbedingungen zu testen, und kann nur auf Verdacht Code schreiben und abwarten, ob der Spam daraufhin aufhört (oder eventuell auch aus anderen Gründen, so wie die überhäufigen Benachrichtigungen von WordPress, dass jemand per Mail meinem Blog folgt, auch irgendwann nach mehreren Wochen wieder aufgehört haben).
breakpoint 
Was funktionieren könnte: bau Dir das WordPress-Plugin „NoSpamNX“ nach (geht ziemlich einfach) – zwei zusätzliche Felder einbauen, die für menschliche Anwender über CSS unsichtbar sind. Bots füllen die dann aber aus. Wenn die zwei Felder ausgefüllt sind, verschwindet die Bestellung im Nirvana 🙂
LikeLike
Eine Art Honeypot .. das ist interessant.
Da allerdings auch Formularfelder leer bleiben, wird das nicht unbedingt alle erwischen, aber vermutlich reduzieren. Ist einen Versuch wert.
LikeLike
könnte mittelfristig problematisch werden. Grund: es gibt Browser, die automatisch ausfüllen. Wenn dann „Email“ angezeigt wird und „Name“, „Ort“, „Strasse“, … versteckt dann füllt der Browser alles aus, der Benutzer sieht aber nur die harmlosen Felder. Es könnte also sein, dass Browser mittelfristig bei versteckten Feldern Warnungen ausspucken (falls das mit dem Autoausfüllen nicht in den Griff zu bekommen ist). Bennen‘ die Felder vor allem irgendwie harmlos 🙂
LikeLike
Für die Felder habe ich irgendwelche unverfänglichen Zeichenfolgen genommen.
Seit das modifizierte Script online ist, habe ich wieder meine Ruhe.
LikeLike
ich verstehe das nur ganz wenig, fakt ist aber, wenn die captcha übergangen werden, dann versucht sich jemand intensiv an neuen techniken um den bots ein neues feld zu verschaffen……vorsicht ist geboten. kein aufwand zu gering
LikeLike
Die Captchafelder werden ja korrekt ausgefüllt, aber der Rest ist Schrott – Werbung, Phishing, was weiß ich.
LikeGefällt 1 Person
Inzwischen gibt’s auch Bots die kaum noch Probleme mit Captchas haben.
Klicke, um auf asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf zuzugreifen
Die Idee mit den beiden „Fake-Formularfeldern“ ist gut. Außerdem habe ich mir angewöhnt, komplette IP-Bereiche aus Russland und China zu sperren. Hilft auch.
LikeLike
Wenn Bots mit Captchas klar kommen, dann müssen die Captchas komplizierter werden.
Zwar nur sehr selten, aber nicht ausschließbar, habe ich auch Kunden aus China oder Russland. Die möchte ich natürlich nicht aussperren.
LikeGefällt 1 Person
Captchabots lernen durch neue Algorithmen und Machine Learning dazu. Manche sind im Captcha-Lösen schon besser als Menschen.
LikeLike
Tja, das wird in Zukunft noch problematisch werden, wenn sich dafür keine andere Lösung findet.
LikeGefällt 1 Person
Ich würde wie Broken Spirits auch zu via CSS unsichtbaren Feldern raten. Gibt es nicht nur bei WordPress. Merkt man immer daran, wenn man Felder via Tab anspringt und sich plötzlich in einem befindet, das nicht sichtbar ist 😉
Die Quote scheint recht hoch zu sein, dass Bots diese Felder ausfüllen, meiner Erfahrung nach. Wenn du dann die Bestellungen mit den ausgefüllten beiden Feldern verwirfst und zusätzlich mit nicht ausgefüllten JavaScript-Feldern verknüpfst, dürfte die Erfolgsquote hoch sein.
Ich teste auch gerne mal für dich 😉
LikeLike
Vielen Dank für dein Testangebot, das ich – wie du sicher schon geahnt hast – nicht wahrnehmen werde.
Ich habe ein so modifiziertes Skript vorhin bereits hochgeladen. Ob es etwas bringt, wird sich zeigen.
LikeLike
Also das ist ja total schade, dass ich nicht testen darf … 😉
LikeLike
Nicht traurig sein, edi.
LikeLike
> Gesendet: Dienstag, 10. Januar 2017 um 07:21 Uhr
LikeLike
❓
PS: Ich habe mir erlaubt, die Mail-Adresse aus dem Namensfeld zu entfernen.
LikeLike
Pingback: Aus meinen Tweet-Beständen //1618 | breakpoint