Spamversender sind ein innovatives Völkchen, das mus man ihnen lassen. Der Kosten/Nutzenfaktor scheint trotz technischer Maßnahmen, Androhung von Freiheitsstrafen und öffentlicher Ächtung immer noch beträchtlich hoch zu sein.
In beinahe regelmäßigen Abständen schaffen Sie es, eine neue Methode zu finden um Antispamfilter zu umgehen.
Angefangen damit Buchstaben durch Zeichen zu ersetzen. Z. B. R0lex, Ro1ex, Víagra, Cìalí$ oder lennnning. Eine andere Methode ist das Einschmuggeln von Satz- oder Leerzeichen. Z. B. Via.gra oder P_o_r_n_o. Eine ganz kurze Zeit schlüpften Wörter durch die Spamfilter in denen einfach ein paar mehr Buchstaben verwendet wurden, so als ob man schreien würde. Z. B. »Ciiialissss for seeeellllll« oder kombiniert »Buµ mµ vvaste noooooooooooooow«.
Die Spamfilter wurden schnell erneuert - auf die neuen Methoden eingestellt. Dennoch ist es ein ungleicher Kampf. Spammer sind immer einen Schritt vorraus. Als sehr schwierig erwiesen sich Mails die sowieso nur aus einem Bild bestanden. Für den Antispambot sah das ganze nach einer unbedenkichen E-Mail aus, für den Empfänger aber nach Werbung, da nur er das Bild nicht lesen konnte. Eine Art umgedrehter Turing-Test, bei dem es das Ziel ist Maschinen von Menschen zu trennen, auch besser bekannt als Captcha. Die Methode wird eigentlich dazu eingesetzt um irgendwelchem Spamrobotern den Zugang zu Webseiten zu verwehren, da sie sonst Blogs, Gästebücher, Foren oder kostenlose SMS-Dienste mit Werbung bombardieren würden. Wie man sah ging es aber auch andersrum. Spammer nutzten die Unfähigkeit der Filter zur Mustererkennung aus, um Werbung an Ihnen vorbei zu verbreiten.
Heute bekam ich eine E-Mail in der ein riesiges ASCII-Art Replika Uhren anpries.
_____ _ | __ \ | | | |__) |___ | | _____ __ | _ // _ \| |/ _ \ \/ / | | \ \ (_) | | __/> < |_| \_\___/|_|\___/_/\_\
Sie schlüpfte durch meine Spamfilter, weil diese nicht in der Lage waren, wie bei einem Bild, zu lesen was dort geschrieben stand.
Schlimm, aber die Spammer-Szene scheint uns hier einen Weg aufzuzeigen, der ein Problem lösen könnte, vor dem schon viele
Webdesigner standen. Die Barrierefreiheit von Captchas. Simples Beispiel. 
Ein Captcha als Bild mit einer Zahl, wie es hier in meinem Blog vorkommt, ist für einen blinden Menschen, der meinen Blog mit einer Braillezeile liest, unüberwindbar.
# ### ### # # ### ## # # # # # # ### ## ### ### # # # # # ### ### ### # ###
Doch dieses Beispiel ist für ihn immer noch lesbar, während ein automatischer Spamverteiler hier zunächst, genau wie die ständig anzupassenden Spamfilter, versagt.
Natürlich währt der Vorsprung nicht für immer, kann aber durch ständige Verbesserung gehalten und ausgebaut werden.
12 Kommentare
Mich nervt der Quatch auch gewaltig, aber bisher komme ich noch (halbwegs) ohne capcha aus. Eine Idee, die ich schon seit einer Weile im Kopf habe, beruht auf der Frage, ob es schon (Kommentar-) Spambots gibt, die Java-Script können? Ich glaube nicht - denn dann könnte man z.b. dynamisch das Capcha mit Java-Script korrekt ausfüllen und verstecken, so dass der normale Anwender es nicht mehr ausfüllen muss. Der Bot aber würde abgeblockt. Nur bei dektivierten Java-Script müsste es noch ausgefüllt werden.
Das wird sicherlich über kurz oder lang auch wieder eine Gegenmaßnahme der Spammer geben, aber ich glaube es bedeutet immer noch etwas Vorsprung und Spambots mit JavaScript Support sollten deren komplexität schon deutlich erhöhen.
Auf dieser Grundlage sollten auch noch verfeinerte Verfahren entwickelt werden können, z.B. AJAX-basiert. Ich könnte mir vorstellen, dass evtl. asynchron verifiziert werden kann, ob es sich um einen Bot handelt - und wenn einfach nur 30 sek. gewartet wird, bis das Capcha deaktiviert wird. Das wäre kein Problem für jemanden, der einem normalen Kommentar schreibt, aber ein echtes Hindernis für einen Bot.
Das mit dem JavaScript-Code ist eine gute Idee. Ich glaube auch nicht, dass Spambots JS ausführen können.
Wenn eine Alternative, und sei es ein klassisches Captcha, vorhanden ist, für Leute die kein Javascript an haben, dann ist es eine klasse Lösung.
30 Sekunden Wartezeit/Penalty mit AJAX oder mit PHP realisiert bringt meiner Meinung nach nichts. In der Zwischenzeit macht der Spambot (wenn er denn AJAX kann) 1000 weitere Verbindungen auf, ehe er nach 30 Sekunden doch noch seine Werbung posten darf.
Also ich glaube schon, dass 1000 offene Verbindungen etwas ausmachen. Schliesslich ist der Bot gezwungen bei fast allen so lange zu warten, wenn sowas flächendeckend eingesetzt wird. Ausserdem ist die Anzahl der offenen Verbindungen begrenzt und wirkt sich nicht gerade positiv auf die Performance bzw. die Anzahl der Einträge pro Sekunde aus. Anstatt evtl. 1000 Einträge pro Sekunde zu posten, gehen dann nur 1000 pro 30 sek.
Das Szenario könnte ich mir dann so vorstellen, dass neben dem Capcha ein Counter runterläuft, der nach Ablauf das Capcha deaktiviert, was einen analogen Kommentator nicht weiter stören sollte.
Also ich hab ganz einfach das Problem gelöst und es funktioniert. Ein Textfeld, in dem “bäh spam” steht muss gegen “nospam” ausgetauscht werden. “nospam” steht sogar als Text daneben. Bis jetzt funktioniert das prächtig. Ich muss keine komischen Zahlen entziffern. Völlig unnötig und überdimensioniert.
Gerade ist mir noch eingefallen dass man als Alternative zu einem normalen Captcha den Code auch als Blindenschrift in ASCII-Art darstellen könnte.
Du meinst also richtig in Braille? Aber dann müssten das deine Leser doch auch verstehen bzw. übersetzen können - oder verstehe ich da jetzt was falsch?
Ich meine als barierrefreie Alternative. Obwohl, kann man eigentlich schnell wieder erden, weil es nicht lange dauern wird, bis Spambots Brailleschrft lesen können.
Test ob das auch wirklich funktioniert?
Test ob das auch “verhebt?”
ascii art:
das ist eine richtig gute weil hilfreiche idee! die programmierer unter uns sollten nun loslegen und die captchas für foren, gästebücher etc ändern …
javascript:
mit irgendeinem perl modul kann man den internet explorerer komplett fernsteuern (uls aufrufen, seiten inhalt auswerten, bearbeiten und ergebnisse in forumulare posten etc) - wenn spammer damit arbeiten sind auch javascript & cookies keine hürde …
Es ist ein homepage, in dem es ASCII kunst von Japan vorstellt.
Es ist ein homepage, in dem es ASCII kunst von Japan vorstellt.