Защита web-сервисов от спама


Оглавление (нажмите, чтобы открыть):

MaskMe — надежный сервис защиты от спама

Наверняка у Вас бывало такое: стоит где-то «засветить» адрес своего почтового ящика (зарегистрироваться на каком-либо сайте, подписаться на рассылку и пр.), как спустя какое-то время на него начинает идти поток СПАМа. Происходит это чаще всего потому, что владельцы многих сайтов в погоне за наживой продают спамерам базы своих зарегистрированных пользователей. А уже те начинают Вас долбить письмами с различных адресов email.

Как только на каком-либо сайте при регистрации Вы увидите поле, где надо оставить свой email, кликайте на него, и сработает всплывающее окошко, где одним кликом мыши можно ввести созданный псевдоним.

В бесплатном варианте Вы можете использовать следующий функционал плагина MaskMe:

  • маскировка email и защита от спама
  • генерация надежных паролей при регистрациях
  • автозаполнение форм

В платной (премиум) версии продукта, которая стоит $5/месяц, помимо вышеперечисленного Вы получаете также:

  • маскировку телефонных номеров
  • маскировка данных кредитных карт (для совершения безопасных онлайн покупок)
  • синхронизация данных на различных устройствах

Благодаря статистике, собранной в личном кабинете сервиса MaskMe Вы сможете также определить, какой именно сайт продал Ваши регистрационные данные спамерам! Но это уже скорее нужно просто для любопытства, ибо в суд на них Вы за это подать не сможете )).

Используйте сервис MaskMe и Вы сможете избавиться от спама в своих почтовых ящиках, а также сможете при желании уличить тех владельцев сайтов, кто занимается нечестной торговлей базами данных своих зарегистрированных пользователей!

Защищаем сайт от спама с помощью Akismet

В данном уроке пойдет речь о защите сервера от спама. Что такое спам? Спам — сообщение, которое не соответствует содержанию страницы. Обычно такие сообщения содержат рекламу и ссылку на ресурс в сети. Первая линия обороны от спама — капча. Но спаммеры постоянно ищут способы обхода первой линии (и очень часто такие поиски завершаются успешно). Поэтому оборона должна иметь несколько эшелонов. Вторым может стать веб сервис (в нашем случае Akismet).

Akismet — отличный автоматизированный веб сервис для защиты веб сервера от спама.

Первое, что надо сделать — зарегистрироваться на сайте Akismet и получить ключ API. Затем перейти на страницу с плагинами и библиотеками, выбрать и загрузить класс PHP 5 Akismet. С его помощью можно защитить практически любой сайт от спама посредством веб-сервиса Akismet.

Ниже приводится простой пример использования сервиса Akismet для проверки комментария на соответствие критериям оценки спама. Создается простая страница с формой, информация из которой проверяется на сервисе Akismet. После проверки ниже формы выводится информационное сообщение и отладочная информация.

Для работы кода нужно изменить значения ‘__ВАШ_КЛЮЧ_API_AKISMET__’, ‘__АДРЕС_ВАШЕГО_САЙТА__’ и ‘__ИМЯ_ПОЛЬЗОВАТЕЛЯ_AKISMET__’ на ваши.

Материалы сайта RUSELLER.COM

Класс Akismet.class.php имеет переведенные комментарии в коде.

Данный урок подготовлен для вас командой сайта ruseller.com
Источник урока: www.script-tutorials.com/akismet-spam-protection/
Перевел: Сергей Фастунов
Урок создан: 6 Мая 2012
Просмотров: 18802
Правила перепечатки

5 последних уроков рубрики «PHP»

Фильтрация данных с помощью zend-filter

Когда речь идёт о безопасности веб-сайта, то фраза «фильтруйте всё, экранируйте всё» всегда будет актуальна. Сегодня поговорим о фильтрации данных.

Контекстное экранирование с помощью zend-escaper

Обеспечение безопасности веб-сайта — это не только защита от SQL инъекций, но и протекция от межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF) и от других видов атак. В частности, вам нужно очень осторожно подходить к формированию HTML, CSS и JavaScript кода.

Подключение Zend модулей к Expressive

Expressive 2 поддерживает возможность подключения других ZF компонент по специальной схеме. Не всем нравится данное решение. В этой статье мы расскажем как улучшили процесс подключение нескольких модулей.

Совет: отправка информации в Google Analytics через API

Предположим, что вам необходимо отправить какую-то информацию в Google Analytics из серверного скрипта. Как это сделать. Ответ в этой заметке.

Подборка PHP песочниц

Подборка из нескольких видов PHP песочниц. На некоторых вы в режиме online сможете потестить свой код, но есть так же решения, которые можно внедрить на свой сайт.

Reg.ru запустила новый сервис защиты от спама для своих клиентов

Регистратор доменов Reg.ru объявил о том, что вводит специальный сервис «Расширенная защита от спама», основанный на уникальных разработках компании Reg.ru, а также на российских и международных технологиях.

В преддверии запуска услуги Reg.ru предложил своим клиентам принять участие в опросе, посвященном проблеме почтового спама. Согласно данным опроса, 30% респондентов получают более 10 спам-писем в день, у 56 % данный показатель ниже и составляет до 10 писем в день. Значительное число респондентов (68 %) никогда не переходит по ссылкам из спам-сообщений. В проблеме спама, по мнению опрошенных, виноваты не только спамеры (32 %), но и отсутствие четкого законодательного регулирования в этой сфере (36 %). Большинство респондентов (около 60 %) не применяет дополнительных мер защиты от спама, при этом 70 % опрошенных хотели бы их использовать.

Теперь сервис «Расширенная защита от спама» может быть подключен для любого домена, находящегося на обслуживании в Reg.ru, вне зависимости от того, к какому хостинг-провайдеру или почтовой службе привязана электронная почта на домене. Подключение услуги позволит обеспечить наивысшую степень защиты от нежелательной корреспонденции. Одной из составляющих сервиса «Расширенная защита от спама» является программный продукт «Яндекса» «Спамооборона», основанный на тех же алгоритмических и лингвистических разработках, что и поиск «Яндекса». Каждое письмо в почте, подключенной к сервису «Расширенная защита от спама», будет одновременно проверяться несколькими фильтрами на наличие признаков спама и антивирусной программой.

Другие материалы рубрики

Россияне продали Badoo за $3 миллиарда

Microsoft нашла полезное применение своему поисковику Bing

В России введут штрафы для покупателей украденных персональных данных

Билл Гейтс: Windows Mobile чуть не захватила мир. Но мы облажались из-за Internet Explorer и властей США

Власти готовятся конфисковывать криптовалюту

Найден способ воровать деньги через смарт-ТВ. Двухфакторная аутентификация не спасает

Как защитить форму от спам-ботов: подробное руководство

07 февраля 2020 – 00:30

Если вы замечаете стихийный рост базы данных сайта или подозреваете, что его взломали, — значит защита от спам-ботов не работает. Они добавляют в базу чужие адреса, ломают аналитику и портят рейтинг. Сайт виснет, пользователи жалуются, вы боитесь, что боты доберутся и до сервера. Нужно дать им бой!

Какой метод использовать и как отличить робота от человека? Какая защита уже не эффективна, а какая — самая надёжная? Об этом читайте в нашей статье.

Для чего нужно защищать форму от ботов

Однажды вы можете зайти в админку и увидеть такую же картину, какую мы увидели на сайте одного из наших проектов:

Всё это — роботы, которые регистрировались через форму на сайте и к тому же иногда возвращались обратно. Чего они добивались — мы до конца не знаем, потому что вовремя приняли меры.

Наш пример показывает, что от атаки спам-ботов не застрахован никто. Чем она обернётся, зависит от спамеров, которые на вас вышли. Вот некоторые последствия атаки спам-бота на сайт:

  • на почтовый ящик, который получает данные из формы, приходят письма со спамом;
  • качество базы подписчиков снижается: бывают случаи, когда подписчиков-ботов становится больше, чем подписчиков-людей, и это грозит ухудшением репутации;
  • портится статистика на сайте: новые пользователи появляются, а толку от них никакого;
  • большое количество запросов от ботов загружает сервер, из-за этого страницы открываются медленно;
  • боты ищут уязвимые места в коде и могут получить доступ к серверу;
  • на сайте появляются комментарии наподобие таких:


Такие комментарии отпугивают реальную аудиторию на сайте, и постепенно он умирает.

В худшем случае боты заражают сайт, внедряя скрипты, например, чтобы использовать его для спам-рассылок от имени техподдержки. Бывает, что при атаке они запускают спам-сценарии. Схема такая: они регистрируются в форме от имени другого пользователя, адрес которого взяли в открытом доступе. В поле с именем или в поле комментариев пишут рекламный текст со ссылкой на мошеннический сайт. Дальше тот самый пользователь получает от вас письмо с просьбой подтвердить подписку, открывает его и, возможно, кликает по ссылке ради интереса.

Так боты используют вашу хорошую репутацию. После такой атаки вполне реально попасть в чёрный список.

Нужна ли капча?

Капча (captcha) — типичный пример теста Тьюринга, который помогает отличить искусственный интеллект от человеческого.

Форматов много: можно заставить пользователей вводить странные сочетания букв, расшифровывать аудиосообщения, решать примеры или искать на фотографиях машины или дорожные знаки. Безопасно для владельца сайта, но очень раздражает пользователей, которые могут бросить форму на полпути.

Можно ли защитить форму без капчи? Конечно, можно.

Методы защиты формы от спама без капчи

У всех способов борьбы со спам-атаками есть общий недостаток: они устаревают. Как только вы придумываете новый метод защиты, разработчики ботов стараются найти в них лазейки, поэтому важно быть начеку. Ниже мы расскажем, какие способы ещё рабочие, а какие — уже ненадёжные.

Задать рамки на время заполнения формы

Роботы вводят данные моментально, в то время как человеку нужен какой-то отрезок времени, чтобы напечатать имя и email. По этой логике вы сможете отсекать ботов ещё на этапе заполнения полей.

Но не всё так просто: во многих браузерах есть функция автозаполнения форм. Пользователь не тратит время на ввод email, а значит, скрипт может посчитать его ботом. Вдобавок большинство ботов уже умеет заполнять формы с такой же скоростью, как это делает человек. Так что этот метод можно использовать как дополнение к остальным, но не рассчитывайте, что он отсечёт всех роботов в одиночку.

Добавить скрытое поле

Логика такая: человек видит на сайте два поля для ввода (имя и email). Хотя на самом деле есть третье поле, скрытое в коде.

Робот сканирует код сайта, а не внешнюю оболочку, поэтому видит это поле и заполняет его. И тем самым даёт скрипту на сайте знать, что данные от этого пользователя принимать не стоит.

Казалось бы, безотказный метод защиты. Но бот будет пытаться отправить данные через форму во всех возможных комбинациях: заполнять одни поля и оставлять другие пустыми, чередовать их содержимое и так далее. Так или иначе, он подберёт способ отправки данных и сломает вашу защиту, так что метод ненадёжный.

Блокировать user-agent

Спамеры используют специфические заголовки user-agent (идентификатор конкретного пользователя). В сети вы даже можете найти списки user-agent спам-ботов и заблокировать их заранее в файле htaccess. Но имейте ввиду, что полностью это вас не защитит. Боты умеют подделывать user-agent и успешно обходят эту блокировку.

Расставить «ловушки»

К примеру, приём скрытой ссылки. Человек её не видит, но в коде она есть. Бот проходит по этой ссылке, и тут-то вы блокируете его IP. Но имейте в виду, что если вы используете код ловушки, который нашли в интернете в открытом доступе, то она, скорее всего, работать не будет.

В идеале напишите уникальную ловушку своими силами, но для этого нужен ресурс. Если у вас есть толковый специалист, который сможет создать такую ловушку, считайте, вам повезло.

Пользоваться сервисами reCAPTCHA

Сервисы, созданные специально для борьбы со спам-ботами, — лучший вид защиты, при условии, что его создатели регулярно обновляют алгоритмы, которые блокируют нежелательных посетителей. Поэтому если вы захотите пользоваться сервисами — выберите самые популярные от надёжных разработчиков.

Например, существуют сервисы reCaptcha и invisible reCaptcha, которые поддерживает Google. А по запросу «recaptcha analog» можно найти множество платных и бесплатных аналогов в разном дизайне и функционале.

reCaptcha

Пользователю предлагают совершить минимальное действие: нужно только поставить галочку «Я не робот». Пример Disqus:

Когда пользователь нажимает на галочку, сайт проверяет репутацию его IP. Если с ней всё в порядке — данные, которые он ввёл в форму, отправляются в базу. Если репутация под сомнением — ему предлагают ввести капчу. И только после того, как человек ввёл правильные символы, он может отправить данные.

Invisible reCaptcha

Действует по такому же принципу, что и reCaptcha, с тем отличием, что пользователю не нужно нажимать «Я не робот». Его проверка на «человечность» начинается, когда он нажимает на кнопку отправки данных. То, что на сайте работает invisible reCaptcha, можно заметить по небольшой плитке с лого где-нибудь в углу страницы. Например, вот так она выглядит на «Авито».

Пользоваться LeadPlan

Подавляющее большинство сервисов защиты от спам-ботов обороняет уже отображённые на странице формы. Чтобы робот заполнил поля и нажал «Отправить», форма должна быть на странице. Если её нет — то и нечего отправлять, значит, бот уйдёт с сайта в поисках новой жертвы.

LeadPlan ещё при открытии страницы путём проверки IP и скрипта, о котором расскажем ниже, определяет, что клиент — бот, и просто не загружает ему форму. А если клиент — человек, то она загружается в обычном режиме.

Когда пользователь открывает сайт, запускается проверка на:

  • активность вкладки (у большинства ботов нет понятия «активная вкладка»);
  • user-agent (так отфильтровывается ещё часть сомнительных посетителей);
  • активности на странице (скролл, свайп, передвижение курсора).

Если активности нет, то скрипт не продолжает работать. Но как только фиксируются признаки «человечности», скрипт возобновляется. Без капчей, формул, пазлов, регистрации и смс.

Заключение

Как видите, не все популярные методы хороши. Самый надёжный щит от спам-ботов — это многоэтапная проверка на «человечность». В то же время большинство эффективных средств защиты всё-таки навязывают взаимодействие с пользователем: нужно что-то ввести или передвинуть.

В погоне за новыми способами защиты не забывайте о людях. Многих раздражает, когда их просят распознавать текст на смазанных картинках. Поэтому пускай проверка для человека проходит незаметно, например, через сервисы reCaptcha или LeadPlan.

Защита сайта от спама обратной связи

В предыдущей статье я рассказывал как защищать устаревшую джумлу и админку от перебора паролей. Но при этом многие задаются вопросом: «Почему мне приходит спам с моего сайта через установленную на моем сайте форму обратной связи?».

Мастер Йода рекомендует:  Swift — всё по этой теме для программистов

Убрать спам с контактной формы сайта

На этот раз я расскажу о вариантах защиты всяческих контактных форм и полей конструкторов, калькуляторов — вообщем того, что отправляет письмо администратору сайта. Мало того, что порой неинтересно читать спам или рекламу, которую прислали вместо потенциального клиента, уязвимость форм обратной связи грозит ещё баном от хостинга почтовой службы. И ваши клиенты в этот день уже не смогут отправить вам заявку.

Поэтому стоит заранее подумать о защите, а не когда заспамят по самое не хочу. Хотя в большинстве случаев владельцы сайтов думают, что сайт никому не интересен и не догадываются, что на них могут выйти боты. Другая половина считает, что лишние поля отпугивают потенциальных посетителей, а в некоторых случаях и слишком сложны для заполнения. В любом случае давайте разбирать подробнее.

Установка капчи на сайт как защита от спама

Чтобы предотвратить массовую отправку данных, следует своевременно позаботиться о защите подписных форм. Конечно, самым действенным вариантом будет установка капчи (captcha) — рисунка, текст или цифры с которого надо будет ввести в отдельное поле для подтверждения, что вы не робот. На данный момент существует огромный выбор разновидностей капчи:

— можно взять из примеров и написать или модифицировать стандартные капчи. При этом мы можем задать какие символы будут использоваться, и насколько буквы и цифры будут подвергаться всяким изменениям для ухудшения автоматического распознавания. Плюсом будет простота в распознавании людьми, такую капчу обычно ставят на сайтах с небольшой посещаемостью и где нет смысла её усложнять, то есть где атаки ботов минимальны. Минусом данного метода является то, что данный тип капчи очень быстро и легко взламывается, поэтому при большей активности спамеров следует поставить решение посложнее.

— готовые решения от Google, Yandex и других сторонних сервисов. Это не только цифро-буквенные капчи, среди них есть много интересных вариантов, таких как собрать картинку-паззл, выбрать подходящие изображения и т.п.

Recaptcha как универсальная альтернатива всем капчам

С выходом второй версии рекапчи от гугла она кардинально изменилась: сложным, длинным и неразборчивым фразам на смену пришёл поведенческий анализ. Теперь при первых попытках не надо вводить проверочных фраз — достаточно поставить галку подтверждения и проверка пройдена. При подозрительной активности Вам предложат сделать несложные действия, к примеру выбрать изображения с природой или витринами.

Удобство нового метода смогли оценить многие пользователи, поэтому многими разработчиками API рекапчи интегрировано в программный код, необходимо только получить уникальные ключи на домен.

Recaptcha 2 в Joomla


В популярной CMS джумла рекапча реализована системным плагином, поэтому стоит выбрать её в настройках, активировать плагин и ввести полученные ключи. После этого как системные компоненты могут обращаться к гуглокапче (к примеру, регистрация пользователей или стандартная контактная форма), так и различные сторонние модули и расширения (Virtuemart, сторонние контактные формы, Jcomments и другие).

Немного по другому ситуация обстоит в более старых версиях (Joomla 1.5 и 2.5). Максимум там можно найти первую капчу от гугла, но она настолько отпугивает своей сложностью, что стоит подумать или о дописывании своего варианта или решиться на миграцию на последнюю версию.

WordPress и рекапча от гугла

У вордпресса дела обстоят иначе: по умолчанию там в борьбе со спамом предлагается Akismet, который порой очень часто пропускает спам и работает не самым лучшим образом. Recaptcha существует отдельми плагинами, которые могут добавлять защитное поле в комментарии, форму авторизации или регистрации, а также в совместимости с контактной формой.

Быстрый взляд на популярные варианты к сожалению не нашел подходящего решения, удовлетворяющего всем параметрам. У всех решений были свои косяки: обнуление полей комментариев при неверном вводе капчи, необходимость проходить проверку для входа в админку, поле рекапчи находилось ниже кнопки отправить — не всегда заметно с первого раза.

Поэтому на мой взгляд вп требует допила.

Невидимая Recaptcha

Google анонсировала бета-тестирование нового типа рекапчи — Invisible reCAPTCHA. Как Вы знаете, усовершенствованная версия позволяла отличать ботов от настоящих людей на ранней стадии и предлагала реальным людям нажать простую кнопку. В то же время некоторые раскритиковали необходимость данного действия. Поэтому сейчас есть возможность опробовать новую вариацию — теперь и эту кнопку жать не надо, а рекапча будет сама анализировать момент появления на сайте. С одной стороны это облегчит жизнь пользователям, с другой стороны возможны проколы с пропуском ботов, однако это уже время покажет.

Для того, чтобы поставить новую невидимую рекапчу на сайт, необходимо получить отдельные ключи. Также необходимо реализовать функция обратного вызова (callback) для проверки легитимности. Более подробную информацию можно найти в API, и когда с ним разберусь, постараюсь выложить пример реализации на сайте.

Так как информации получилось много, то я вынес в отдельную статью — Используем невидимую рекапчу на сайте.

Рекапча на произвольном сайте

На самом деле нету ничего сложного в реализации recaptcha в любом модуле или самописной форме обратной связи. На сайте расписано подробное API как реализовать необходимую проверку. С размещением кода на фронтэнде обычно не возникает проблем, однако не все могут корректно отослать запрос проверки секретного ключа.

Поэтому я рассмотрю простой вариант back-end отправки json на php

Если понадобятся дополнительные действия с апи, то советую изучить документацию.

Защищаем форму обратной связи без капчи

Капча поможет решить нам проблему со спамом, однако многих она раздражает, и многие стараются обходиться без неё. Кроме этого, существуют различные сервисы как антигейт по обходу капчи (там люди за деньги заполняют данные с капчи). Поэтому не лишним будет рассмотреть альтернативные варианты. Для популярных CMS существуют готовые решения, в других случаях придется применить навыки программирования либо обратиться к специалистам.

Итак, я расскажу пару приемов, как повысить защищенность формы без капчи.

Скрытые поля как защита форм

Создаем hidden поля. Достаточно для заполняемых полей (name,phone, email) в стилях прописать display:none; и дополнительно создать поля с нестандартными атрибутами name (к примеру phone-protect). Обязательно надо изменить код под новые поля и добавить ещё одну проверку: если наши скрытые поля будут заполнены ( или изменены дефолтные значения), тогда будет выдавать ошибку » Спам здесь не пройдет, обнаружен бот».

Этот метод дает большой выбор пофантазировать в вариантах проверок и названий полей, а значит своей нестандартностью защититься от большего количества ботов

Используем cookies для проверки уникальность посетителя

Проверяем cookies. Тут можно создавать разнообразные варианты. При этом с помощью куков можно реализовать проверку на однократное исполнение формы ( К примеру пользователь отправил заявку, и начинает снова и снова заполнять форму обратной связи — вдруг он просто конкурент. А ему в ответ » Вы уже отправили свою заявку»).

Преимущество данного метода закрывает заодно достаточно распространенную уязвимость, на которую часто закрывают глаза, — CSRF данных формы. А ведь с помощью этой дыры можно совершать множество виртуозных атак.

Фильтрация входящих данных контактных форм обратной связи

Хорошая валидация полей на корректное заполнение является примером тоном правильного программирования. Это не только обезопасит Ваш сайт от SQL инъекций и XSS-уязвимостей, но с учетом того, что боты заполняют случайными значениями, в большинстве случаев они могут не пройти элементарной проверки на корректный телефон. Как дополнительный вариант можно устроить какую-нибудь самописную подгрузку какой-нибудь проверки на Javascript — чем больше уникальность вашего решения, тем меньше шансов пройти спаму!

Не забудьте проверить, не изменилась ли работоспособность с вашими правками. С этими советами можно защитить сайт от спама в формах обратной связи. Ну а в следующей статье я расскажу, как бороться против примитивных DDos-атак и снизить нагрузку на сервер от ботов.

Расширенная
защита от спама

Услуга позволяет обезопасить вашу корпоративную почту от спама,
вирусов и фишинга. При использовании данного сервиса контакт
с нежелательными сообщениями будет минимален, благодаря
тому, что фильтрация происходит до перенаправления писем
в вашу почтовую сеть.

Интеграция с любым почтовым сервисом и доменом
любого регистратора

Защита на основе спам-баз и алгоритмических разработок
компании SpamExperts

Около 80% писем являются спамом или содержат опасные
файлы

Телефон в Москве

Бесплатный звонок по России

Выделите и нажмите Ctrl+Enter

  • Принимаем к оплате
  • Все способы оплаты

Все права на материалы, находящиеся на сайте, охраняются в соответствии с законодательством РФ. При любом использовании
материалов сайта письменное согласие обязательно. Торговые марки, логотипы и марки услуг, размещенные на данном сайте,
являются собственностью ООО «Регистратор доменных имен РЕГ.РУ» или третьих лиц.

Какие существуют методы защиты от спам регистраций?

Пришел к выводу, что captcha как защита от спама уже давно изжила себя. Картинки становятся все трудночитаемые для обычных людей, но спам программы успешно проходят данную защиту — где-то программно, где-то за счет сервисов вроде антигейт.

Сейчас работаю над защитой которая с одной стороны была бы прозрачной для обычных пользователей, с другой — отсекала спаммеров.

1. шаг 1 — проверка email (линк-активация на email) после регистрации

2. шаг 2 — проверка по спамбазам (stopforumspam.com, Akismet, TypePad AntiSpam) при валидации email’a.

3. шаг 3 — проверка по фильтрам. Суть в том, что пользователь оценивается по разным фактором каждый из которых имеет определенный вес:

а. email (почтовый, наличие цифр)

б. введенный адрес сайта при регистрации (как показывает статистика — 99 % спамботов заполняет, против процентов 10-15 обычных пользователей)

г. несовпадение домена в адресе сайта и в email

д. наличии линков в текстовых полях

е. количество регистрации с того же ip за последние 24 часа

д. цифры в имени пользователя

по результатам фильтра возможные разные методы дополнительной проверки — reCAPTCHA, проверка по телефону, форма отправки email админу и т.п. вплоть до автоматического бана и отправки в спам базы.


4. периодическое повторение шага 2 & 3 — по крону и при изменении профайла пользователя.

На этом пока все.

Вопрос — может кто-то может еще предложить какие-либо методы? Главное требование — наиболее прозрачный метод для обычных пользователей. Методы вроде «собери картинку» или «реши эту задачу» не подходят.

  • Вопрос задан более трёх лет назад
  • 4262 просмотра

> Я делал так, регались все кто хочет, коменты можно писать на пятые сутки

И какой процент пользователей, хотевших оставить коммент, но забивших на эту идею? Вы не пробовали посмотреть? наркоманство какое-то.

Можно сделать в форме какое-то поле, которое не нужно заполнять и стандартным названием в форме вроде mail. Кто заполнил — тот робот. Спрятать его через стили.

Я на сайте универа успешно требую ввести «3 буквы нашего ВУЗа». Вроде ещё не было людей которые не прошли, и роботов которые прошли бы 🙂 Разве что при незнании русского языка может быть проблема, даже при отсутствии русской раскладки никто не мешает сокращение с той же страницы скопировать.

Способы, не мешающие пользователю: анализ IP запроса, проверка по черным спискам (регистарции с анонимных прокси и тора — блокируем, из стран типа Китая или IP датацентров — пропускаем, но помечаем как подозрительные). Особо стоит обратить внимание на мобильные IP и IP Оперы из Норвегии — их банить как раз не надо.

Проверка поддержки JS и Flash на клиенте (если нет, скорее всего это бот).

Анализ связей между аккаунтами (вход в разные аккаунты с одного IP с одной и той же кукой, или в похожее время например). Анализ числа регистраций во времени. Анализ поеведения пользователя после регистрации.

Ботов также хорошо ловить на заполнении полей-ловушек.

Надо понимать также, что боты бывают разные, есть такие, которые тупо ходят по всем сайтам и отправляют все найденные на них формы (эти отсекаются легко), а бывают специально разработанные под ваш сайт лучшими представителями темных шляп, с ними сложнее.

Предложенные же вами способы либо бесполезны, либо мешают пользователю, но легко обходятся спамерами, либо вообще представляют собой эпический бред (про цифры в имени).

А вообще, начните с вопроса, чем грозят вашему проекту «левые» регистрации. Почему их делают. Может, у вас требуется вход на сайт там, где можно обойтись без этого? Комментарии вполне можно оставлять без регистрации.

Если вы делает систему управления блогом и боитесь спам-ссылок, сделайте систему репутации: непроверенный пользователь не может оставлять ссылки, прверенный (активно комментирующий или одобренный автором блога — может). Проверяйте домены ссылок по базам типа akismet.

Если проект — соцсеть и вы боитесь массовой регистрации для спама, все гораздо хуже. Проекту уровня вконтакте реально помогла только привязка к телефонам, все остальные способы спамеры легко обходили. Впрочем, можно бороться со спамом, введя систему репутации, а также ограничивая взаимодействие между пользщователями-не-друзьями.

Защита почты от спама и фишинга: актуальные угрозы и передовые решения

Страшно представить, но почти все компьютеры в мире контролируются спамерами. Без понимания, как действуют недоброжелатели, и дополнительной автоматической защиты открытие одного лишь письма в e-mail может привести к обрушению всей корпоративной сети и уничтожению либо утечке важных данных организации. Каждой компании требуется качественная защита от спама и фишинга, которую обеспечит грамотно выбранное программное обеспечение.

Cпам и фишинг сегодня, или Почему так важна антиспам-защита

В последние годы решение проблемы спама приобретает все большую актуальность. В прошлом году доля спама в мировом почтовом трафике превысила 55%. Согласно обобщенным данным Ассоциации документальной электросвязи, сотрудники, которые получают в день по 10—20 деловых писем, попутно находят в своих электронных ящиках более сотни спамерских сообщений. Борьба с рекламной и вредоносной рассылкой потребует около 5-ти часов в месяц, а это рабочее время, оплачиваемое работодателем. Кроме того, спам значительно увеличивает нагрузку на коммуникации, повышает трафик, снижает эффективность работы сервера.

Мировым лидером по рассылке спама уже несколько лет является США — по данным прошлого года, их доля нежелательных сообщений составила 18,75%. Следом за Штатами, с 7,86% спама, — Вьетнам, а замкнул тройку печальных фаворитов Китай с 7,77% почтового «мусора». Российские спамеры заняли шестую строчку по объему нежелательной почты, хотя когда-то были на второй позиции. А вот страны-«мишени» спамеров совсем иные. По данным на 2020 год, больше всего досталось Китаю — на него пришлось 18,23% всего спама, следом — Германия с 11,86%, а затем Великобритания с долей в 8,16%. Наша страна заняла седьмую позицию с показателем 3,93%. Больше всего из развитых стран повезло Таиланду — на него пришлось лишь 0,8% спам-сообщений.

Интересно, что спамеры не отстают от мировых событий и актуальных потребностей получателей. Так, в 2015 году основной темой коварных писем зачастую были события на Украине, а сейчас — Чемпионат мира по футболу. Каждый туристический сезон адресаты видят в своих электронных ящиках нежданные письма от отелей, как настоящих, так и «фейковых».

Ответ на подобные сообщения запрещен в принципе, так как каждая реакция на полученное извещение приведет к тому, что на ваш ящик будет приходить все больше и больше нежелательной корреспонденции. Как «убрать» спам, хорошо знает большинство специалистов: нужно либо сменить e-mail, либо установить дополнительную защиту.

Существуют и более опасные рассылки, которые нацелены на «заражение» компьютера или на получение доступа к конфиденциальной информации, — так называемый фишинг. Эти разновидности спама — особый вид интернет-мошенничества, призванный получить идентификационные данные пользователя, такие как личные и корпоративные пароли, номера кредитных карт, банковских счетов и так далее.

Мастер Йода рекомендует:  8 простых, но полезных CSS-эффектов для вашего сайта

Обратите внимание!

Даже самая скромная статистика свидетельствует о том, что «трояны» «живут» на нескольких миллионах пользовательских компьютеров по всему миру. Причем вирусы обладают собственным интеллектом: обновляются, рассылают спам, получают инструкции от мошенников. Согласно экспертным данным, более 96% компьютеров, с которых отправляют электронные письма, являются членами «зомби-сети», то есть контролируются спамерами.

Как правило, фишинг мы получаем в виде фальшивого уведомления от провайдера, банка и других организаций, которые хорошо узнаваемы и могут быть важны для деятельности компании. В темах таких писем нас предупреждают о срочной информации, угрозе, на которую нужно среагировать немедленно. Фишеры не гнушаются предлагать борьбу с «самими собой»: мол, стоит только пройти по ссылке на рекомендуемый сайт, ввести свой логин и пароль — и об опасности фишинга можно забыть навсегда. С помощью введенных данных мошенники получают доступ к электронному ящику жертвы и другой личной информации. При этом фишеры сами редко пользуются полученными данными, передавая их третьим лицам. И нельзя забывать об опасности заражения компьютера вредоносной программой, подхваченной на открытой по ссылке странице или в прикрепленном к письму файле. Ведь когда вирус поражает один из компьютеров корпоративной сети, есть риск парализовать работу всей организации. Теперь понимаете, что значит для компании защита от фишинга?

По данным специалистов, ущерб от одного только инцидента, связанного с информационной безопасностью, для крупных компаний составляет в среднем 20 миллионов рублей, а для небольших организаций — чуть менее 800 тысяч рублей. Чтобы ликвидировать проблему и обезопасить себя от дальнейших неприятностей, компании большого размера могут потратить до 2 миллионов рублей, а фирмы поменьше — примерно 300 тысяч. Однако 90% мирового бизнеса довольно снисходительно относится к опасности вредоносных программ, иными словами, не следит за появлением новых вирусов и оперативным обновлением программного обеспечения для борьбы с ними. А начинать следует с понимания того, под какими темами писем чаще всего скрывается спам.

На заметку!

Спам в рекламных целях, несмотря на свою популярность, малоэффективен. Недавно проведенный эксперимент одной из калифорнийских компаний это наглядно доказал: организация разослала 350 миллионов писем, извещающих о запуске нового продукта, получив в ответ лишь 28 заказов.

Виды спама

По традиции одной из самых популярных тематик спам-сообщений являются интернет-знакомства. Свидания, объявления брачных агентств всегда были в лидерах тем нежелательных писем, популярна и реклама сайтов «для взрослых». Далее по рейтингу идут образование, путешествия (они особенно активны в летний период), недвижимость и бухгалтерские услуги.

В зависимости от содержания письма спам делится на «коммерческий» и «некоммерческий», чему соответствуют аббревиатуры UCE — «unsolicited commercial e-mail» (коммерческий) и UBE — «unsolicited bulk e-mail» (некоммерческий).

Коммерческий спам, в свою очередь, делится на санкционированный и несанкционированный, другими словами, вам приходят коммерческие предложения, на которые вы соглашались или не соглашались. С такого рода спамом нужно обращаться аккуратно, так как можно упустить действительно важную информацию.

Некоммерческий спам, или анонимная массовая рассылка, чаще всего представлен следующими его разновидностями:

  • Политический спам. Сообщения политического характера наиболее популярны, естественно, в период выборов. Речь в основном идет о «черном PR» с целью компрометации определенного лица. Интересно, что такая рассылка часто осуществляется якобы от имени конкурента. Пользователей возмущает огромное число писем от кандидата, что заставляет их идти голосовать за другого (истинного инициатора рассылки).
  • «Благотворительный» спам. Как уже говорилось выше, спамеры умело используют происходящие в мире события. Так, в 2008 году популярна была просьба перечислить деньги в благотворительный фонд для помощи детям из Южной Осетии. Позже «благотворители» собирали пожертвования в Донецк. Масса сообщений поступает с кличем помочь умирающему от тяжкого недуга ребенку, которому нужна срочная дорогостоящая операция. Такой спам очень опасен, так как оформлен довольно грамотно. Неравнодушным к чужим бедам людям следует тщательно проверять изложенную в подобных письмах информацию.
  • Мошеннический спам. В так называемых нигерийских письмах мошенники предлагают участие в денежных операциях, обещая огромные доходы. У получателя письма выпрашивается все больше денег на уплату различных сборов, взяток чиновникам и т.д. Популярный вариант — письмо от нотариуса, извещавшего о смерти человека с той же фамилией, что и адресат. Отправитель предлагает получить деньги с банковского счета «умершего». Поначалу такие сообщения шли со ссылкой на гибель родственника в Нигерии, отчего спам и получил свое название. Интересно, что, несмотря на множественные предупреждения о вреде подобных писем, ежегодно находятся жертвы, отправляющие деньги на счета мошенников.
  • Цепочный спам («письма счастья»). Задача цепочного спама — пересылка сообщения всем родственникам и знакомым адресата. Чаще всего это некое «письмо счастья», в котором пользователю обещают полное благополучие в жизни, если он отправит письмо определенному числу других пользователей. Иной вариант — «письмо несчастья», в котором сообщается о грядущем стихийном бедствии, теракте или эпидемии. Отправители письма настоятельно рекомендуют перенаправить сообщение всем знакомым, чтобы предупредить их. Такие сообщения особенно опасны возможной паникой среди населения, а в некоторых случаях содержат и просьбы о переводе небольших сумм денег. Зачастую «письма счастья» содержат ссылку на вредоносный сайт или зараженный файл.
  • Спам «для взрослых». Этот вид спама несколько сдал свои позиции по сравнению с началом 2000-х. Произошло это отчасти благодаря введению в некоторых государствах законодательных ограничений на подобный контент. Но спад фиксируется в западных странах, а в России, наоборот, идет подъем. К тематике спама для взрослых относятся порносайты и материалы, содержащие порнографию, сайты знакомств, средства для повышения потенции. Чаще всего такие сообщения приходят на английском языке.
  • Вирусный спам. Самый проблемный вид спама. Одно такое письмо может повредить один компьютер или целую сеть, уничтожить или похитить информацию, остановить работу организации, причем достаточно крупной. Спамеры наловчились подделывать вирусные письма под сообщения от почтовых серверов (например, отчет о якобы недоставленном письме) под важные извещения, под документы, требующие срочного просмотра.

Согласно статистике 2020 года, самой распространенной вирусной программой является Trojan-Downloader.JS.Agent (6,14%). Затем следует Trojan-Downloader.JS.SLoad (3,79%). На третьем месте — Trojan-PSW.Win32.Fareit (3,10%). Эти вирусы, используя технологию ADODB.Stream, скачивают и запускают вредоносное ПО, вследствие чего нарушается вся безопасность системы ПК. Они собирают различную важную информацию, в частности данные банковского счета и номера кредитных карт.

Спам для спамера

Иногда спамеры попадают в собственные сети. Так, широко известна история с одним из крупнейших мировых спамеров Аланом Ральски. Однажды он неосторожно дал интервью одному из журналов, после чего опытные пользователи смогли узнать не только электронный почтовый адрес спамера, но и физический. Тысячи активистов подписали эти адреса на множество рассылок, как обычных, так и электронных. В результате дом Ральски был буквально завален различными каталогами, рекламами и прайсами, а его электронный ящик не выдерживал нагрузок. Дошло до того, что спамер стал жаловаться в прессе на «выживших из ума недоброжелателей».

Способы распространения спама

Рассматривая вопрос многообразия спама, было бы странно обойти стороной тему способов его распространения.

Прямые рассылки

Первоначально сообщения рассылались спамерами с использованием собственных почтовых серверов и от собственного имени. Но эти рассылки оказались неэффективны, так как их достаточно просто блокировать: необходимо всего лишь запретить адрес отправителя или почтового сервера. И как только подобные блокировки стали распространенными, спамерам пришлось искать обходные пути — к примеру, подделывать различную информацию, включая адреса отправителей.

Открытые сервисы (open relay, open proxy)

Существуют почтовые серверы, позволяющие произвольному отправителю послать любое письмо на любой электронный адрес, — их называют «открытые релеи» (open relay). Все началось еще в середине 90-х, когда абсолютно все почтовые серверы представляли собой как раз открытые релеи (впоследствии конфигурации крупных мировых почтовых серверов были изменены). Однако следить за тем, чтобы сервер был закрытым, нужно постоянно, а специалисты по IT-безопасности не всегда уделяют этому должное внимание, чем активно пользуются созданные интернет-мошенниками сервисы поиска открытых релеев или открытых прокси-серверов. И все же большинство спамеров перестало применять открытые релеи, поняв их малую эффективность, и начало искать другие способы воздействия.

Взломанные пользовательские ПК и другие способы

Вышеперечисленные методы становятся все менее эффективными, и сейчас наибольшее распространение получила рассылка спама с помощью зараженных пользовательских компьютеров. Чтобы получить доступ к компьютеру, мошенники используют троянские программы (они распространяются по сети Интернет или файлообменным сетям вместе с различным пиратским программным обеспечением), уязвимости в операционных системах и популярном софте, e-mail черви.


Методы защиты от спама и фишинга

По мере того как спам становится все изощреннее, разрабатываются новые способы защиты почты и усложняются «классические» методы. Надежность антиспам-систем обеспечивается использованием нескольких методов в комплексе. При выборе способов защиты важно также отталкиваться от особенностей работы организации и характера спама, который приходит чаще всего.

Фильтрация

Основным и самым популярным методом борьбы с нежелательной корреспонденцией является фильтрация, то есть отсеивание спама от действительно важных писем. Этот метод основан на том, что спам-письма значительно отличаются от обычных. Фильтрация разделяется на автоматическую и неавтоматическую.

Автоматическая фильтрация спама. Для защиты от спама используются спам-фильтры. Они могут быть установлены на пользовательских компьютерах или на серверах. Принципиально различаются два способа работы таких фильтров. В одном случае спам-фильтр опознает отправителя письма как спамера, не открывая само сообщение на основе рейтинга сервера через который спамер шлет письма. Особенность такого метода в том, что ПО должно быть установлено на сервере, на который приходит нежелательная корреспонденция.

Другим способом является анализ «тела» письма. Если оно оценено как нежелательное, то отправляется в отдельную папку или удаляется. Спам-фильтр, работающий таким образом, может находиться как на сервере, так и на пользовательском компьютере.

Очень популярна на данный момент байесовская фильтрация спама. Способ заключается в следующем: спам-фильтры предварительно «обучаются», то есть им отправляются уже отсортированные письма, на основе которых фильтр анализирует статистические особенности желательной корреспонденции и нежелательной. Если «обучение» происходит нормально, то фильтр помогает отсеять до 97% спама. К сожалению, спамеры сейчас научились обходить и такие фильтры, вставляя в «тело» письма картинку, убирая при этом текст полностью или частично. В таком случае спам-фильтр не может грамотно опознать письмо и составить статистику. Однако и для таких писем есть противоядие: если постоянно «дообучать» антиспам, указывать ему на недостатки, то автоматическая фильтрация становится весьма эффективной.

Неавтоматическая фильтрация является более трудоемкой и сложно подстраиваемой. Но в конечном счете, если грамотно подойти к вопросу, она может стать очень результативной. При неавтоматической фильтрации спам-фильтры задаются пользователем и, как правило, состоят из стоп-слов или выражений. Следовательно, пользователь точно будет знать, почему отсеяны письма и какие из них были отправлены в папку «Спам». Важно помнить, что для эффективности данной антиспам-проверки нужно постоянно следить за последними тенденциями в поведении спамеров и дополнять фильтр новыми установками.

Обратите внимание!

Ежегодно из-за спама российский бизнес лишается 500 миллионов долларов, 22 миллиарда долларов теряют американские компании, а европейские — 51 миллиард евро.

Черные списки

В черные списки обычно вносятся:

  • IP-адреса тех компьютеров, с которых ведется или велась рассылка нежелательной корреспонденции;
  • открытые релеи;
  • локальные списки спамеров;
  • черные списки, составленные службой DNS (компьютерной распределенной системой для получения информации о доменах).

Система черных списков используется уже давно, проверена временем и подводит нечасто — в этом ее сильная сторона. Слабую сторону такого подхода составляет безответственность администрации в вопросе составления списков, в которые запросто попадают ни в чем не повинные пользователи. Простой пример: компьютеры, с которых мог быть отправлен спам, включены в подсеть или принадлежат почтовому домену. А система включает в черный список весь домен или всю сеть, и после этого тысячи пользователей некоторое время не могут отправлять почту. Добавим к нежеланию вникать в детали «нечистоплотное» поведение некоторых администраторов, которые порой требуют деньги за удаление IP-адресов из черных списков.

Серые списки

Принцип работы данной методики основан на том, что функционирование программного обеспечения, отвечающего за рассылку спама, отличается от «поведения» стандартных почтовых серверов. Спамерское ПО, обходя защиту спам-фильтра, использует разные релеи и другие обратные адреса, принимающая сторона расценивает это как попытку отправлять спам-письма. Тогда включается работа серого списка. Изначально все неизвестные серверы, отправляющие почтовые сообщения, включены в данные списки, но при этом почта, поступающая с такого сервера, не отклоняется. Серверы получают код временной ошибки, и если почта благожелательная, то она приходит снова с того же адреса. Спамерское же ПО повторно отправляет сообщение уже с другого адреса, и тогда спам уничтожается или откладывается в специальную папку. Так отсеивается значительная (около 90%) часть нежелательной корреспонденции, а важные письма доходят без потерь — это сильная сторона подобного метода, которая и принесла ему популярность.

Слабой же стороной являются затраты времени (порой до 30-ти минут) на дополнительную проверку писем, а это неприемлемо при работе со срочной корреспонденцией. Однако задержка происходит только при получении первого письма с неизвестного сервера, так что метод может оказаться удобным для ряда организаций.

Анализ заголовков

Для генерации своих писем спамеры применяют специальное программное обеспечение, которое автоматически создает и распространяет сообщение. У таких программ есть серьезный недостаток: они допускают ошибки при оформлении заголовка, поэтому спам-сообщение не соответствует почтовому стандарту RFC. Благодаря этому просчету антиспам-фильтры и обнаруживают нежелательную корреспонденцию. Такая защита весьма надежна и эффективна.

Анализ вложений

Изначально фильтрация вложений проверяла только тему сообщения и «тело» письма, содержащего текст. Однако сейчас антиспам-проверка проводится по всему сообщению, даже по вложенным картинкам. Это одна из самых действенных программ, которая быстро «учится», подстраивается под новые виды нежелательной корреспонденции и действует практически безошибочно.

Защита от сбора адресов

Часто спамеры сканируют сайты на предмет поиска электронных адресов, указанных в качестве контактных, и потом на эти адреса идут десятки спам-сообщений. Есть несколько путей защиты e-mail от спам-ботов. Один из самых популярных способов — создание «левого» адреса. На популярном почтовом ресурсе регистрируется дубликат электронной почты, который выставляется на сайте организации. После обновления сайта вы станете получать письма от реальных пользователей, а не от мошенников.

Второе эффективное средство защиты от сбора адресов — преобразование адреса в картинку. Скриншот электронного адреса выставляется в раздел «Контакты» на сайте вместо «словесного» эквивалента — пользователь без проблем прочитает адрес, а вот спамерская программа не сможет его распознать. Схожим вариантом является «маскировка» адреса. К примеру, вместо ivan.ivanov@com становится ivan(dot)ivanov(at)com, — в таких случаях спамерские программы тоже бессильны. Недостатком подходов является то, что они усложняют доступ к почтовому адресу реальным пользователям.

Определение признаков массовости

Действует данный метод достаточно просто: в огромном потоке писем выявляются абсолютно идентичные или незначительно различающиеся сообщения. Технология предназначена в основном для крупных организаций, которые обладают значительными объемами почты.

Современные IT-компании для защиты от спама и фишинга используют сразу несколько методов, формируя комплексную защиту. Наиболее часто применяемые методы в специализированном ПО — черные и серые списки, байесовская фильтрация и анализ письма. На практике авторитетные антиспам-сканеры — такие как GFI MailEssentials, Kaspersky Anti-spam, Kaspersky Security for Mailserver, McAfee Security, Symantec MailSecurity, ESET MailSecurity — удерживают до 99% всех нежелательных сообщений.

Итак, мы видим, что спам не сдает свои позиции, становясь все более изощренным. Но и от него есть противоядия, причем как профилактического, так и лечебного свойства. Общие советы по борьбе со спамом остаются неизменными из года в год: не оставляйте электронные адреса на подозрительных сайтах, не открывайте и не пересылайте письма от не внушающих доверия источников и, конечно же, установите надежный спам-сканер. А владельцам бизнеса, кроме того, стоит задуматься и о безопасности хранения данных внутри компании, а в том числе и о корпоративном управлении паролями.

Как выбрать программу для защиты корпоративных данных и управления паролями сотрудников

Ни одна современная компания не обходится без использования интернет-ресурсов и электронной почты для решения рабочих вопросов, соответственно, обеспечение защиты паролей — это необходимость. Решением может стать программа KeepKeys.

Мастер Йода рекомендует:  Как оживить PerlCGI скрипт

Система защищает корпоративные данные благодаря:

  • проведению мониторинга надежности паролей;
  • возможности отслеживания изменений;
  • централизованному хранилищу, защищенному стойкой криптографией.

К тому же KeepKeys не только обеспечивает удобный доступ к личным данным и их индивидуальное хранение, с его помощью можно предоставить пароль другому пользователю на определенное время. Также возможны коллективное использование доступов и полная передача данных от сотрудника к сотруднику. Это выгодно отличает KeepKeys от других современных систем хранения данных, которые ориентированы на индивидуальное использование.

К тому же минусом существующих корпоративных решений является принцип управления, при котором один или несколько сотрудников-администраторов имеют доступ ко всей базе данных — это, безусловно, ставит под угрозу безопасность компании. При разработке KeepKeys эти моменты были учтены: каждый сотрудник сам управляет доступом к своим записям — без предоставления разрешения даже администратор программы не сможет их увидеть. А в случае утраты данных KeepKeys исключает риск их расшифровки.

Антиспам для сайтов: как защититься от ботов в комментариях

Спамеры как тараканы. К счастью, и для них есть свой дихлофос. Вместе с облачным антиспам-сервисом Cleantalk рассказываем, как с ними расправиться.

От спам-ботов страдают все сайты без исключения. Реклама сомнительных способов заработка в комментариях портит репутацию и отпугивает пользователей. Пустые регистрации сильно искажают реальную статистику интернет-магазинов и мешают владельцам правильно оценивать ситуацию. Если у вас нет таких проблем, значит:

  • У вас нет сайта. Зачем вы вообще это читаете?
  • Ваш сайт никто не посещает. И в первую очередь вам надо решать именно эту проблему.
  • Вы не разрешаете пользователям регистрироваться, оставлять комментарии и отзывы. А зря.

Зачем разрешать пользователям оставлять комментарии

Лайфхакер пробовал отключать комментарии, и ничего хорошего из этого не вышло. Без общения с пользователями мы начали терять наше сообщество.

Сообщество — это активные лояльные пользователи, ваши лучшие друзья. Без них никак. Они пишут, обсуждают, дают дельные советы, помогают новичкам, делятся мнениями, опытом и знаниями. Дискуссия в комментариях — это возврат аудитории, рост числа посещений и срока жизни контента.

Активность посетителей делает сайт популярнее. Но там, где много людей, неизбежно заводятся и спамеры. С ними даже самый уютный блог быстро превращается в помойку. Смотреть на неё неприятно, посещать её — тем более.

Как избавиться от спама, не закрывая комментарии и отзывы

1. Нанять модератора

Вы нанимаете человека, который следит за новыми комментариями и отзывами, удаляет спам и банит тех, кто его оставляет.

  • Плюс: высокая точность обнаружения. Человек способен вычислить не только спам, но и троллей, провокаторов и просто нежелательных личностей, ведущих деструктивную деятельность.
  • Минусы: модератору надо платить зарплату. А ещё модератор спит, а спамеры не спят. Это значит, что вам потребуются несколько человек, которые будут работать по сменам.

2. Установить автономную программу-антиспам

Автономный антиспам вы можете установить на свой сервер. Для корректной работы нужно провести первоначальную настройку, после чего периодически обновлять программу.


  • Плюсы: программа работает круглосуточно, не устаёт и не ленится.
  • Минусы: робот-антиспам может пропустить спам или карать невиновных. Он не способен обнаруживать неявные нежелательные сообщения: провокацию, троллинг и распространение информации, противоречащей законам РФ. Точность программы и количество потребляемых ею ресурсов сервера зависит от мастерства разработчика.

3. Использовать облачный антиспам

Облачный антиспам — это самый продвинутый вариант защиты. Вы устанавливаете плагин, и он автоматически проверяет комментарии и регистрации, блокируя спамеров и не мешая обычным пользователям. Например, можно использовать Cleantalk — облачный антиспам-сервис за 550 рублей в год с бесплатным 7-дневным пробным периодом.

  • Плюсы: незаметен для пользователя, легко устанавливается, не требует ручного обновления, стоит значительно дешевле других способов защиты.
  • Минусы: хотя облачные антиспам-сервисы лишены недостатков автономных программ, вероятность ложного срабатывания всё равно будет выше, чем если бы сайт вручную модерировал человек. Но на зарплату модераторам вы будете тратить минимум 40 000 рублей в месяц.

Как работают облачные антиспам-сервисы

Преимущество облачного антиспама перед автономным проще всего объяснить на примере с бабушками. Представьте бабушек, сидящих на лавках во дворах. Они зорко следят, чтобы в подъезды домов не проникли мутные личности, и активно между собой общаются.

Стоит одной бабушке увидеть подозрительного человека, и уже через несколько минут о нём будут знать все бабушки в окрестностях. Приметы, одежда, с кем и откуда шёл, что нёс в руках — полный детальный портрет. Теперь ему точно не пробраться ни в один подъезд на районе.

Примерно так же работает Cleantalk. Единая система защищает больше 250 тысяч сайтов. Стоит спамеру сунуться на один сайт, и система закроет ему доступ ко всем остальным сайтам. Процесс происходит автоматически, вручную обновлять чёрные списки не нужно.

Cleantalk позволяет настроить индивидуальные фильтры по стоп-словам и записывает все действия в логи. Так вы сможете создать персональную защиту под себя и всегда будете знать, кто что делал и не попали ли под раздачу невиновные.

Важное преимущество облачного сервиса в том, что он работает незаметно и не раздражает пользователей.

Все знают, что такое капча. Ты хочешь написать комментарий или ещё что-то сделать, а тебя просят ввести еле читаемые буквы или цифры с картинки, тыкнуть на все изображения, на которых есть автобус, и тому подобное. Бесит? Ещё как. Хочется плюнуть и уйти с сайта. Многие именно так и делают. Капча ощутимо снижает активность и лояльность сообщества.

Cleantalk действует незаметно и, в отличие от той же капчи, корректно работает при отключённых у пользователя в браузере JS и куки. Никаких форм подтверждений и прочих раздражающих, отнимающих время вещей, гораздо меньше нагрузки на сайт и куда более простая установка.

Другие полезные фишки Cleantalk

  • Проверка существующих пользователей и комментариев. Если на вашем сайте уже много комментариев и юзеров, Cleantalk может проверить их все и навести порядок.
  • Блокировка по странам и языкам. Вы можете избавить свой сайт от орков, говорящих на языке Мордора.
  • Снижение нагрузки на сервер и защита от брутфорса. В составе Cleantalk есть инструмент SpamFirewall, который проверяет запросы до того, как отдаёт страницы сайта на прогрузку. Таким образом, ресурсы сервера, на котором расположен ваш сайт, расходуются только на хороших пользователей, а не на спамеров и ботов.
  • Удобный плагин для WordPress. Если вы, как и Лайфхакер, тоже используете лучшую и самую популярную CMS, то установка и настройка антиспама для вас будет ещё проще. Скачайте плагин Cleantalk из каталога WordPress и сразу начинайте работать.
  • Бесплатный пробный период. Позволяет полностью изучить сервис и его возможности, протестировать на своём сайте и понять, подходит вам Cleantalk или нет.

Спам можно победить. Протестируйте Cleantalk и убедитесь в этом лично.

Взгляд на современные системы защиты от спама веб-форм

Наверное никогда не прекратятся бои людей желающих проставить свои ссылки или что-то порекламировать, с людьми не желающими видеть у себя в комментах или на форумах «левую рекламу» а иногда даже и «правую».

Как человек, который в прошлом потратил много времени на разработку средств для спама веб-формы. Я хотел бы остановиться на моментах, которые упускают многие авторы, агитируя за тот или иной метод защиты.

Неоднократно на разных ресурсах поднимались подобные темы, но все статьи, которые попадались мне на глаза, были написаны людьми, находящимися по другую сторону баррикад.

Небольшой исторический экскурс

Уже много лет прошло, с тех пор, как botmaster выпустил свой знаменитый ХRumer. На тот момент это была настоящая революция в технологиях спама, спам перешел на промышленный уровень.

Автоматическое распознавание капч (сначала самых простых, а потом и довольно сложных), активация аккаунтов по email, возможность вести диалоги с самим собой, хрефер, который позволяет очень быстро собрать нужные базы форумов, работа в сотни потоков — все это оправдывало довольно высокую цену этого программного продукта. Модераторы форумов, гостевых, а позже и блогов тоннами вычищали спам, а иногда и вообще запрещали регистрацию новых пользователей…

Рекламировать хрумер не буду, но это был действительно революционный и уникальный в своем классе продукт (слово был не совсем уместно, поскольку он в общем-то актуален и в настоящее время).

Черное SEO тех времен преимущественно заключалось в грамотной прогонке раскручиваемых ресурсов по правильным базам форумов и гостевых. Очень часто такие простые действия приводили к потрясающим результатам.

Защита же форумов, гостевых и блогов тех времен была на довольно примитивном уровне, в лучшем случае это были простые капчи, а зачастую защита полностью отсутствовала…

Ответной реакцией общественности была разработка методов борьбы со злонамеренным софтом. Конечно, и до хрумера был софт для спама и средства защиты, но именно с появлением этого ПО данная проблема стала особенно актуальна.

Современные методы борьбы со спамом веб-форм

Капча-картинка — тут особо говорить не о чем, все видели разного рода капчи-картинки. А также многие знают про универсальный сервис reCAPTCHA, предоставляющий одни из самых сложных для распознавания капчи.

Текстовые капчи разного типа — это капчи которые испольлзуют связку вопрос-ответ и предлагают написать ответ на предложенный вопрос. Сюда также относятся капчи предлагающие проделать некоторые арифметические действия и ввести правильный ответ в поле ввода.

Интерактивные капчи — это довольно новый и пока малораспространенный вид капч, смысл которых заключается в интерактивном взаимодействии пользователя с некоторыми объектами. Есть несколько реализаций таких капч под конкретные CMS (в основном WP). А также универсальный сервис KeyCAPTCHA, который, как и reCAPTCHA может быть интегрирован в любую CMS.

«Бескапчавые» метода фильтрации спама — этот метод активно продвигается в многих статьях посвященных защите от спама, как метод, который наименее «травмирует психику» посетителей сайта.
К этому классу защиты относятся:

  • Всякого рода ухищрения на JS типа формирования форм «на лету» или установки каких-то полей, которые позже будут проверены на корректность веб-сервером.
  • Ловушки со стороны веб-сервера:
    • Создание невидимых разделов сайта, куда попадают только роботы и позже баняться по IP
    • Проверка задержек на скорость заполнения форм
    • Фильтрация анонимных прокси
    • А также любые другие виды ловушек, разной степени изощренности в зависимости от фантазии вебмастера
  • Сервис Akismet
  • Сервис Disqus, хоть он только для блогов, но его тоже условно можно отнести к этой категории.

Как заспамливаются ресурсы на которых установлены вышеописанные методы защиты

Капча-картинка — если не проходятся с помощью OCR, то распознаются по цене около 1$ за 1000 ЛЮБЫХ капчей-картинок. Это приемлемая цена, которую готов заплатить практически любой серьезный спамер.

На настоящий момент уже активно функционирует несколько сервисов для этого «постыдного» занятия. Картинка, полученная с веб-страницы, при помощи скрипта передается на сервис, после чего успешно распознается человеком (обычно это школьники, студенты и китайцы), а сервис возвращает спамеру готовый ответ в текстовом виде, после чего спам-программа вставляет его в форму, которую хочет проспамить.

Конечно не все работники антигейтов (будем их называть так в честь самого популярного такого сервиса) работают добросовестно, поэтому на таких сервисах есть система обратной связи и «контроля качества». Плохие работники, на которых ты пожаловался, наказываются рублем. Интеграция с такими сервисами уже встроена в современные программы для спама.

Поэтому лично я, не совсем понимаю упорство некоторых усложнителей капчей-картинок капч, какой бы сложности не была капча-картинка капча, она все равно распознается с помощью сервисов «а-ля антигейт». Особенно это касается защиты форм регистраций, заплатить 1$ за регистрацию 1000 акков, по-моему не составляет труда даже для совсем «зеленого» спамера.

Текстовые капчи — здесь все с одной стороны намного проще, с другой намного сложнее. Если у вас сильно богатая фантазия и не очень популярный ресурс, то такая защита может вас спасти, при условии ее ручной настройки. В ином случае разработчики ПО для спама постоянно пополняют текстовую базу вопрос-ответов, и довольно успешно спамят через такую защиту.

Интерактивные капчи — данный вид капч пока мало распространен. На настоящий момент, я знаю несколько неуниверсальных реализаций под WP, а также один универсальный сервис, который можно интегрировать в любую CMS, это KeyCAPTCHA. Пока, лично я, не знаю методов спама с помощью бота в формы защищенные KeyCAPTCHA. И как мне кажется, в ближайшие несколько лет формы защищенные этой защитой будут самыми неуязвимыми для спам-ботов.

Бескапчавая защита — этот метод защиты особо интересен и требует более детального разбора.

Защита на основе разного рода JS ухищрений — Вот тут уже большинство программ для спама справиться на настоящий момент уже не могут, поскольку для этого потребуется реальный рендеринг HTML с полноценной обработкой JS и всех событий страницы.
Все было бы замечательно, но уже существует не одна программа для полной эмуляции браузера, вернее это и есть просто управляемый со стороны абсолютно честный IE. Такой браузер полностью контроллируется нужными спамеру скриптами. То есть умеет на 100% эмулировать работу настоящего браузера по любому написанному спамером алгоритму на PHP или каком-либо другом скриптовом языке.

Такие браузеры умеют менять прокси, брать картинки прямо с экрана, эмулировать нажатия на чекбоксики и ссылки мышкой, просматривать любые отрейдренные стили. В общем делать все, что только угодно. Мало того, существует ПО на основе которого можно создать спам-машину на которой можно одновременно запускать десятки таких вот управляемых браузеров.

Защита на основе ухищрений со стороны веб-сервера в виде всяких ловушек для ботов — Легко и обходится с помощью вышеописанного управляемого браузера, поскольку он (управляемый браузер) будет ходить только по видимым ссылкам, если конечно это запрограммировать.

Защита на основе сервиса фильтрации спама Akismet — Защита данного сервиса основана на вычленении каких-то признаков спама из текста сообщений и может быть IP адресов, может быть куках браузера. Как следствие применять ее можно не на любых произвольных веб-формах, например форму регистрации Akismet надежно защитить уже скорее всего не сможет, если спамер пользуется не «спаленными» IP адресами. Но как показала практика, на блоге с средней посещаемостью все равно регулярно появляются спам-сообщения, значит опытные злодеи обходят и контекстную защиту Akismet. Весь вопрос просто в грамотном составлении спам-сообщений.

Защита на основе Disqus — это, как я уже и писал выше, решение тоже не универсальное, оно полностью убирает комменты из контента вашего сайта и переносит их на сервер Disqus. После чего посетителю сайта они подгружаются с помощью JS. С одной стороны это эффективно, но не лишено недостатков, поскольку комменты перестают быть частью вашего сайта. А спамить через эту защиту можно с помощью того же управляемого браузера, и в ваших комментах все-таки появляется «когда я работал в компании Мегафон…», ну и дальше с вариациями.

Итого

Напоследок хотелось-бы кратко изложить и подытожить все вышесказанное в сравнительной табличке..

Добавить комментарий