Como funcionam os spambots?

43

Eu tenho um fórum que é muito atingido por spambots, e é claro que a melhor maneira de derrotar algo é conhecer o seu inimigo. Vou me preocupar em derrotar esses spambots mais tarde, mas agora eu gostaria de saber mais sobre eles. Ao ler ao redor, fiquei surpreso com a falta de informações completas sobre o assunto (ou talvez com minha falta de habilidade em inserir os termos de pesquisa corretos para obter melhores resultados no Google).

Estou interessado em aprender tudo sobre spambots. Perguntei em outros fóruns e obtive respostas imediatas como "Spambots sempre são usuários registrados no seu site".

  • Como funcionam os spambots do fórum?
  • Como eles encontram a página 'registro de novo usuário'? (Estou especialmente surpreso porque alguns fóruns não têm uma URL dedicada para isso, por exemplo, www.forum.com/register.html, mas use cadeias de consulta ou até outros métodos invisíveis à barra de URLs)
  • Como eles sabem o que inserir em cada campo 'novo registro de usuário'?
  • Como eles determinam em que página eles podem spam / inserir dados e o que não é?
  • Eles 'visualizam' essa página?
  • ..Se não, então eu assumiria que eles estão se comunicando diretamente com o servidor - como é - isso é possível? Como eles fazem isso?
  • Os spambots do fórum podem quebrar os CAPTCHAs? Eles podem resolver questões de lógica (como?)? Questões de matemática?
  • Eles fazem engenharia reversa de scripts de validação anti-bot do lado do cliente? Scripts do lado do servidor?
  • Que técnicas ainda são válidas para evitá-las?
  • De onde vêm os spambots? Alguém está sentado atrás do computador rindo enquanto assiste seu bot destruir site após site? Ou eles estão rindo quando simplesmente 'lançam' na internet de alguma forma? Os spambots são 'executados' por um computador infectado em algum lugar? Eles se replicam?
  • etc
rlb.usa
fonte

Respostas:

48

Como eles encontram a página 'registro de novo usuário'? (Estou especialmente surpreso porque alguns fóruns não têm uma URL dedicada para isso, por exemplo, www.forum.com/register.html, mas use cadeias de consulta ou até outros métodos invisíveis à barra de URLs)

Eles encontram novos sites por:

  • Rastreando e procurando assinaturas de software conhecido. Geralmente, esse é um trecho de texto, como um copyright ou uma metatag, mas pode ser qualquer identificador consistente. Isso geralmente se aplica ao software de blog e fórum.
  • Inclusão manual. Os seres humanos, cuja mão-de-obra é barata em muitas partes do mundo, procuram softwares ou formas conhecidos que sejam facilmente exploráveis ​​e os adicionam a um banco de dados. Isso geralmente se aplica a formulários personalizados de registro e contato.
  • Eles compram listas. Assim como os endereços de email são vendidos por remetentes de spam, também são vendidas listas conhecidas de sites vulneráveis ​​ou preferenciais.

Como eles sabem o que inserir em cada campo 'novo registro de usuário'?

Eles sabem o que inserir em cada campo usando os nomes dos campos como guia. 99,99% do tempo em que o campo de endereço de email é nomeado "email" ou algo que contenha a palavra "email". Você não precisa ser um cientista de foguetes para saber que esse campo provavelmente é para um endereço de email. Para coisas como nomes, ID de login, endereços etc., funciona com o mesmo princípio.

Como eles determinam em que página eles podem spam / inserir dados e o que não é?

Eles não se importam. As ferramentas automatizadas podem tentar tantos formulários em um período tão curto de tempo e praticamente sem custos, portanto, tentar todos os formulários possíveis é uma tarefa fácil. Quando o trabalho humano está envolvido, eles podem ser "roteiristas" e tentar as coisas óbvias para ver se obtêm algum tipo de resposta que indique que o formulário é potencialmente vulnerável. Basicamente, qualquer formulário é um destino potencial para eles, assim como qualquer página que aceite entrada do usuário.

Como funcionam os spambots do fórum?

Eles 'visualizam' essa página? ..Se não, então eu assumiria que eles estão se comunicando diretamente com o servidor - como é - isso é possível? Como eles fazem isso?

De onde vêm os spambots? Alguém está sentado atrás do computador rindo enquanto assiste seu bot destruir site após site? Ou eles estão rindo quando simplesmente 'lançam' na internet de alguma forma? Os spambots são 'executados' por um computador infectado em algum lugar? Eles se replicam?

É tudo automatizado. Ferramentas como o xrumer são construídas, vendidas e contêm a capacidade de explorar software com vulnerabilidades conhecidas. Qualquer um pode comprá-lo e depois de configurá-lo, é mais ou menos fogo e esqueça. Ele acessa todos os fóruns de sua lista e tenta enviá-lo da melhor forma possível. Apenas devido à força bruta, é bem-sucedido e vale a pena para os spammers. É por isso que eles nunca param. Eles mal têm que levantar um dedo para que funcione.

Os spambots do fórum podem quebrar os CAPTCHAs? Eles podem resolver questões de lógica (como?)? Questões de matemática?

Sim, mas nem sempre. Depende de quão bem ele é implementado. Mas muitos captchas, incluindo os oferecidos por grandes empresas, foram derrotados e são efetivamente inúteis. É por isso que várias formas de proteção são necessárias para detê-las. Mesmo assim, os humanos geralmente podem derrotar qualquer sistema.

Que técnicas ainda são válidas para evitá-las?

De uma resposta anterior : você pode fazer várias coisas (e deve fazer mais do que uma), incluindo:

1) Colocar um campo falso que apenas os bots verão. Se esse campo for enviado com o restante do formulário, você poderá ignorá-lo (e bani-lo, se desejar). Você também pode interceptar bots ruins que seguem um link oculto .

2) Use um CAPATCHA como reCAPTCHA

3) Use um campo que exija que o usuário responda a uma pergunta como a 5 + 3. Qualquer humano pode responder, mas um bot não saberá o que fazer, pois está preenchendo automaticamente os campos com base nos nomes dos campos. Portanto, esse campo estará incorreto ou ausente. Nesse caso, o envio será rejeitado.

4) Use um token e coloque-o em uma sessão e também adicione-o ao formulário. Se o token não for enviado com o formulário ou não corresponder, será automatizado e poderá ser ignorado.

5) Procure envios repetidos do mesmo endereço IP. Se o seu formulário não receber muitas solicitações, mas de repente ele provavelmente está sendo atingido por um bot e considere bloquear temporariamente o endereço IP.

6) Use Akismet . É ótimo para identificar spam.

John Conde
fonte
5
+1 para a resposta completa. Eu tive um problema de spam e implementei o elemento de formulário oculto e o chamei de "email" / "mail" e a entrada real do endereço de email que chamei de "endereço". Não há mais spam!
mar10 18/10/10
1
Um bom post sobre como lidar com trolls (a idéia é a mesma para spambots): codinghorror.com/blog/2011/06/suspension-ban-or-hellban.html .
ercpe
Para os captchas, depende de qual ferramenta eles estão usando para derrotá-los. Existem programas de software que às vezes (e nem sempre) são capturados com captchas e, em seguida, existem serviços que usam mão de obra barata para resolver captchas e esses têm uma taxa de sucesso mais alta.
ub3rst4r
11

Como funcionam os spambots do fórum?

Programadores talentosos (se maus) os escrevem - provavelmente existem tantos tipos diferentes de spambots quanto pessoas que os escrevem, mas, infelizmente, são necessários apenas alguns autores de spambot compartilhando e vendendo seu trabalho para arruinar a vida dos administradores ...

Um aplicativo popular de spam de fórum é chamado "xrumer".

Embora eu perceba que isso não responde a todas as suas perguntas, acho importante mencionar que qualquer coisa que um bot não pode fazer bem (como resolver questões complexas de lógica não estática) pode ser feita por um trabalhador mal pago no exterior. Spamming é um negócio como qualquer outro e não há falta de mão-de-obra barata para enviar mensagens de spam por aí.

danlefree
fonte
4
Eu sinto que acabei de assistir uma vaca sendo processada em uma fábrica de carne. Mas altamente informativo.
rlb.usa
Vídeo interessante, engraçado que foi feito na véspera de Natal; Data foi 12-25-2006 12:15 am ... :-)
erros
Ack! aparentemente não é tão talentoso ... Esse programa me lembra o FriendBlaster (costumávamos usá-lo no trabalho - eu era contra, mas o chefe não ouvia). Não duvido da quantidade de tempo e esforço que o autor colocou no programa. Mas, honestamente, nada do que está sendo realizado é tão difícil de implementar (e mal implementado no caso do FriendBlaster). Muito mais impressionantes são os hackers e pesquisadores de segurança que desenvolvem explorações e interrompem os esquemas de DRM poucas semanas após seu lançamento.
Lèse majesté
2

Eu criei o plugin Anti-spam para WordPress , ele bloqueia o spam muito bem sem o Captcha ou qualquer outra coisa.

Como funciona: Dois campos extras são adicionados ao formulário de comentários. Primeiro é a pergunta sobre o ano atual. O segundo deve estar vazio. Se o usuário visitar o site, o primeiro campo será respondido automaticamente com javascript, o segundo campo será deixado em branco e os dois campos serão ocultos e invisíveis para o usuário. Se o remetente de spam tentar enviar um formulário de comentário, ele cometerá um erro com a resposta no primeiro campo ou tentará enviar um campo vazio e o comentário de spam será rejeitado. O usuário não precisa digitar Captcha ou qualquer outra coisa para provar que não é um bot, tudo é feito por javascript.

Você pode baixar o plug-in e usar o código para resolver problemas com spam em seu site.

webvitaly
fonte
1
Então, seus usuários precisam de javascript para poder se registrar? Isso é uma perda de acessibilidade, certo?
Augustin Riedinger 21/07
@AugustinRiedinger O plug-in anti-spam com javascript desativado funciona como uma abordagem simples de captura. Existem cerca de menos de 2% dos usuários com o javascript desativado.
Webvitaly
Você quer dizer que exibirá o captcha nesse caso, certo? Eu sei que há muito poucos usuários lá, mas eu estava pensando em termos de melhores práticas. Leia coisas interessantes sobre isso.
Augustin Riedinger 22/07
@AugustinRiedinger Sim, mostro uma pergunta semelhante ao captcha sobre o ano atual, se o usuário tiver desativado o javascript.
Webvitaly
0

Ao tentar derrotá-los, uma coisa que eu tenho em mente é que o objetivo deles geralmente é postar links para o maior número possível de sites para o benefício do SEO de chapéu preto.

Eles se preocupam com a quantidade de sites aos quais têm acesso, e não com o seu site especificamente. Alguém que queira apenas enviar spam apenas para o seu site pode simplesmente se inscrever sem usar um robô.

Como tal, tenho certeza de que um teste personalizado bem escrito (por exemplo, perguntas para os quais os membros do fórum saberão a resposta) quase sempre será mais eficaz contra robôs do que qualquer teste pré-escrito que os robôs provavelmente sejam sábios para.

Por exemplo, se um robô quebrasse o Recaptcha, ele teria acesso a milhões de formulários para enviar spam. Se ele falhasse em um teste sob medida, teria acesso apenas a um site, para que nenhum bot de spam automatizado se incomode em fazer isso.

https://www.projecthoneypot.org pode fornecer bons dados para usar (por exemplo, palavras-chave e ips para bloquear)

Richard B
fonte