Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 116 reacties
Bron: The Register

Al een tijd worden er plaatjes met sterk vervormde teksten gebruikt die een gebruiker moet overtikken om aan te tonen dat hij geen computer is. Ook spammers hebben deze techniek inmiddels ontdekt.

ReCaptchaServers waarvan de eigenaar niet wil dat ze door bots worden gebruikt, schotelen de gebruiker vaak een captcha voor: een plaatje waarin een lastig leesbare tekst wordt getoond die moet worden overgetikt. Omdat computers niet in staat zijn deze teksten uit plaatjes te vissen kan de server er bij een juist antwoord zeker van zijn dat er een mens aan de lijn hangt. Spammers hebben deze techniek inmiddels ook ontdekt. Nadat antispambots vrijwel alle tekstspam tegenhielden, begonnen de spammers hun reclamemails te verzenden als plaatjes. Hierop reageerden de spambestrijders door tekstherkenningsprogramma's op de per mail verstuurde plaatjes los te laten, zodat ongewenste mail alsnog kon worden geweerd. Onlangs werden er echter spamruns voor het aanprijzen van waardeloze aandelen aangetroffen waarbij de boodschap was opgenomen als vervormde tekst in een plaatje. Omdat software niet in staat was de tekst te ontcijferen konden spamfilters het niet tegenhouden. De spambestrijders vrezen dat deze techniek zich snel zal verspreiden, waardoor er nieuwe detectiemethoden nodig zullen zijn.

Moderatie-faq Wijzig weergave

Reacties (116)

Captcha's werken sowieso niet echt.

Wanneer je ze zo moeilijk maakt dat een computer het niet meer kan herkennen wordt het ook lastig voor de gebruikers, het werkt dus drempel verhogend.

Aan de andere kant moet je geld steken in het ontwikkelen (of inkopen) van een goede captcha, maar ook de spammers steken er geld in. Het kost dus heel veel geld terwijl het niveau ongeveer gelijk blijft. Iedere keer als je een betere captcha maakt zullen de bots ook een betere captcha herkennings techniek krijgen waardoor het nette resultaat nul is. (En dan heb ik het dus over toepassing op een grote schaal, dat jij zelf goede resultaten hebt met een eigen ontwikkelde obscure captcha geloof ik gerust maar dat is niet echt structureel)

Oftewel:
- Het is lastig
- Het kost geld
- Het netto resultaat is bijna nul

Nog mooier zijn de textuele captcha's, hoewel er vragen/technieken bij zitten die daadwerkelijk lastig zijn voor bots heb je ook schijnveiligheid zoals een simpele berekening uitvoeren. Alsof computers niet zouden kunnen rekenen.

Veel bots werken tegenwoordig nog door direct POST gegevens te versturen wat de beveiliging lastig maakt. IMHO zijn de beste manieren om het aan te pakken:

- Zoveel mogelijk achter een login waarbij het account via e-mail geactiveerd moet worden (en dan niet een standaard scriptje zoals in een systeem als phpBB gebruiken, die kennen de bots wel)

- Javascript interactie in het formulier, zorg ervoor dat er javascript nodig is om de gegevens correct te verzenden, negeer anders de invoer compleet. Dit is wel sterk afhankelijk van je doelgroep, let er dus op dat je doelgroep javascript aankan en niet lastig zal vinden. Er zijn ook weinig bots die javascript kunnen simuleren (maar ze zijn er wel, ook dit helpt dus alleen tegen de echt simpele bots)

Het blijft nog steeds een beetje water naar de zee dragen, er is maar heel weinig aan dit soort bots te doen en de bots worden steeds beter en beter. Op den duur zal er toch een structurele wijziging aan het e-mail systeem moeten komen anders helpt er niets.

[Reactie gewijzigd door TRRoads op 8 juli 2007 20:37]

er is maar heel weinig aan dit soort bots
Fout. Er is heel veel aan te doen. Melden bij de ISP. Site(s) melden bij de hosting provider. En tenslotte, actief naar spam zoeken in zoekmachines, en dat aanmelden bij de hosting provider zodat de klant de zooi op kan ruimen.

Comment spam groeit omdat een klein deel filtert, en dan meestal dat nog knullig doet ook.

Overigens, als je toch wilt filteren:

1) als een comment a href bevat, geef een waarschuwing naar de gebruiker dat links alleen via een andere mark-up mogen.
2) als er meer dan 3 links in de comment staan, geef een waarschuwing
3) geef de invoervelden andere namen dan "url", "email", "comment". Wissel die namen regelmatig. Spam is simpel te herkennen als email begint met http:// bijvoorbeeld.

Echter dit heeft tot gevolg dat er spoedig botjes komen die de "pagina" lezen, een leuke reply verzinnen (die on-topic lijkt) en subtiel 1 link spammen.

Kortom: bestrijden bij de bron is de *enige* juiste oplossing.
dat heb ik al zien gebeuren, on topic spam :?
Captcha's moet je überhaupt niet gebruiken om spam te weren, daarvoor moet je een combinatie van meerdere maatregelen nemen. Een eenvoudig captcha-systeem helpt echter wel om een grote groep basale spambotjes buiten de deur te houden.

Overigens zijn jouw maatregelen ook op z'n minst discutabel. Enkel bij sites die ik vertrouw, sta ik JavaScript toe, dus door js te gebruiken in een formulier sluit je, afhankelijk van het publiek, weinig tot veel mensen buiten. Hetzelfde geldt voor een e-mailbevestiging. De voornaamste reden dat mijn spam nog enigszins binnen de perken blijft, is dat ik niet elke website met mijn e-mailadres vertrouw. Mensen die daar net zo over denken, hebben vaak een tweede adres voor dit soort doeleinden, maar wanneer ook nog eens gratis e-mailaanbieders geweerd worden, dan raak je gewoon potentiele leden kwijt. En in de meeste gevallen is dat belangrijker dan spam die je eventueel handmatig nog een keer kunt verwijderen.

Ik snap overigens niet dat mensen zo bang zijn voor geavanceerde botjes. Het concept 'spam' is vooral gebasseerd op het feit dat een miljoenenpubliek geld noch moeite kost, dus waarom investeren als er genoeg sites zijn waar je die technieken helemaal niet voor nodig hebt?

[Reactie gewijzigd door Marcks op 8 juli 2007 21:18]

Zoveel mogelijk achter een login waarbij het account via e-mail geactiveerd moet worden
Dat vind ik nogal een hoge drempel (alleen creditcardgegevens vragen is volgens mij nog zwaarder) . Er komt een extra (trage) stap bij de toegang tot je site en bezoekers moeten meteen hun e-mail-adres afgeven (en dan ga jij zeker lekker zitten spammen??)
Stel je eens even voor dat jij op elke site je e-mailadres moet afgeven voordat je toegang krijgt... Of dat je bij de C&A eerst even je naam en adres moet opgeven voor je binnen mag. Nee dank je.
let er dus op dat je doelgroep javascript aankan
hahahaha! dit is compleet waardeloos. je weigert gewoon iedereen zonder javascript en dan zeg je dat jouw doelgroep altijd javascript aan kan. Een beetje de omgekeerde wereld he? Welke site heeft "javascript" nou in zijn doelgroep zitten? "Ik richt mij op liefhebbers van aardewerk die javascript gebruiken", of "mensen die een huis willen kopen met een java-enabled browser" :+ Je zou hooguit javascript in je doelgroep op kunnen nemen op een javascript developers forum, maar verder kun je nooit op javascript vertrouwen. Javascript, cookies, flash, internet explorer, etc verplicht stellen, kost je gewoon bezoekers/klanten.
"Beste klant, Uw beschikt helaas niet over javascript waardoor wij geen zaken met u willen doen, gaat u maar naar onze concurrent"

(het ergste is dat er zat sites zijn die de bezoeker nog veel lomper de deur durven te wijzen :'( Ik ken een bank die een van hun grotere klanten keihard adviseerde ergens ander te gaan bankieren als die klant geen windows met internet explorer ging gebruiken ("Klanten met een Mac moeten maar ergens anders gaan bankieren") en de Rabobank wilde bezoeker zonder cookies tot voor kort geheel geen toegang tot hun site geven)
Hoewel dit natuurlijk te voorspellen was, is het geen ontwikkeling om blij mee te zijn. En niet alleen omdat er minder spam gefilterd wordt.
De spambestrijders moeten nu een nieuwe techniek ontwikkelen die het wel kan tegenhouden. Deze techniek wordt dan waarschijnlijk weer overgenomen door de bots, zodat de hele captcha's niet meer effectief zijn.

De spambestrijders moeten nu namelijk een techniek ontwikkelen die captcha-teksten van gewone afbeeldingen kan onderscheiden. De beste methode daarvoor is (denk ik) gewoon letterherkenning. En dan is het captcha-systeem gekraakt. De captcha-spamfiltersoftware zal toch wel uitlekken.
Het captcha systeem zou kunnen worden uitgebreid op een manier waarmee bots niet om kunnen gaan.

Je kunt bijvoorbeeld 2 of meerdere willekeurige plaatjes tonen.
Op de website staat dan eveneens welke tekst van deze 2 of meerdere plaatjes ingevoerd moet worden.

Bijvoorbeeld.

Educative This College

Met op de website. "Type the text showing in the left picture." Of een combinatie van beiden. Of zelfds alleen de laatste 2 letters van ieder woord. Of welk woord er niet tussen hoort. In dit geval "This". Etc etc.

Hier kunnen die bots dan niet mee omgaan omdat die wel kunnen ontcijferen wat er staat... maar niet wat het betekent.

[Reactie gewijzigd door Refragmental op 8 juli 2007 21:32]

En jij denkt dat de gemiddelde website bezoeker daar wel mee om kan (of wil) gaan?

Ik irriteer me al aan de huidige systemen waar je het verschil tussen een 1, i of L al nauwelijks kan zien.

[Reactie gewijzigd door humbug op 8 juli 2007 23:02]

om maar te zwijgen van o,O en 0
ik prefereer captcha systemen waar bij dubbelzinnige letters alle mogelijkheden anvaard worden. (het maakt dus niet uit of je o O of 0 intikt)
Dus maak ik een berg vage sites waarbij ik de bezoekers even vraag om even de gaptcha op te lossen. Die gaptcha is de gatcha van jouw site die ik kopieer en helemaal niet echt gebruik om mensen toegang tot mijn site te geven, maar waarvoor ik mijn bezoeker inzet om jouw 'beveiliging' te doorbreken.
Of desnoods huur ik een berg indiers in die ze voor 50 cent per uur oplossen.

Gaptcha's zijn gewoon slecht. Je maakt het je eigen bezoekers moeilijker (of zelf onmogelijk zodra mensen een visuele beperking hebben) om jeouw site te bezoeken, terwijl de spammers het kunnen automatiseren.
FuzzyOCR is anders aardig in staat om ook nog van wazige captcha-achtige woorden nog een woord te maken. Thuis gebruik ik dit al een aardig tijdje, en als je hem goed ingesteld en hem de goeie woorden voor z'n mik geeft doet ie het best goed.

Je zou in theorie FuzzyOCR ook nog kunnen gebruiken om PDFjes te scannen, maar ik heb zelf het idee dat PDF spam niet lang leeft, aangezien de gebruiker toch een extra handeling moet doen (het PDFje openen) voordat ie de spam ziet.
Blijkbaar hebben spammers ook een manier bedacht om die captcha's TOCH te kunnen ontcijferen.

Ze kunnen nu gewoon hotmail en yahoo accounts automatisch aanmaken...


Lees hier het artikel op slashdot.org.

[Reactie gewijzigd door musiman op 9 juli 2007 10:21]

ik krijg nu zelfs spam met captcha-achtige plaatjes in pdfjes...
Ik krijg sinds een week ook ineens spam met pdf attachments, daarvoor nooit. Omdat de mail duidelijk als spam te herkennen is vraag ik me af of het geen virus/trojan is (ik heb dat verder niet onderzocht, geen haar op mijn hoofd die er aan denkt om die pdf's te openen). Spammers doen namelijk normaal meer moeite om hun mails voor spamfilters te verhullen.

Adobe Acrobat kan op twee verschillende manieren javascript code uitvoeren in een pdf. Ik heb die engines gebruikt en ze komen op mij vrij half baked en gammel over, lang niet de kwaliteit van de javascript interpreters in de populaire browsers. Een fout die "kwaadaardig" gebruik mogelijk maakt zou me helemaal niet verbazen ...
Hoe weet je dat?

ik bedoel, jij opent die attachmetns ook echt? 8)7
ik denk dat we hier gewoon duidelijk aan de verkeerde kant bezig zijn met spam bestrijding...

we zijn nog steeds met z'n allen bezig om onze inbox te verdedigen, maar wat werkelijk zoude moete wille doen is 't strafbaar stellen van het op jouw pc (of netwerk) geinstalleerd hebbe van botnet software, -

- vooral providers zouden hier een effiectieve rol in moete gaan spelen door met z'n allen samen een of andere server pakket te schrijven die als dedicated server moet kunne analiseren welke klanten binnen hun netwerk wellicht lid kunne zijn van een botnet,
en die klanten dan ook direct benaderen en eventueel zelfs afsluiten.

ik zou zelfs wille stellen dat ISP die hierin nalatig zijn, gewoon hun Pearing moete kunne verliezen (kortom als bijv upc zou weigeren ze gewoon afgesloten kan worden in amsterdam)

misschien klinkt dit dramatisch. maar gezien de huidige ontwikkeling moet je vind ik van je provider kunne eisen dat ze zich hard maakt voor jouw belangen...
Jij wil het internet dus gaan reguleren en controleren?? Sorry, maar dat is kansloos.
Je gaat heel veel beperkingen introduceren die het voor heel veel mensen moeilijk gaan maken en de spammers toch niet tegen zal houden.
Dankzij al die blacklists is de betrouwbaarheid van e-mail sterk afgenomen (heb jij nog nooit een e-mail gehad dat jouw mail niet bezorgd zal worden omdat het vermoeden bestaat dat het spem is, of gehad dat jij iemand mail stuurt die het zegt niet ontvangen te hebben, of mail die iemand jou zegt gestuurd te hebben, nooit ontvangen hebt?)

De aankomende sender-identification die sommige providers willen invoeren, zal de doodsteek zijn voor e-mail (want jij kunt straks alleen nog maar mail sturen vanaf je thuisadres) en dan stappen we allemaal over op iets anders (bijvoorbeeld IM) en vervolgens verplaatst de spam zich gewoon mee.

Het is een wapenwedloop waarvan de gebruikers en e-mail in het algemeen de dupe wordt.

Verantwoord met je e-mailadres omgaan en af en toe een ander adres nemen is de voorlopig de enige oplossing. Of iemand inhuren die jouw mail filtert, een soort secretaresse dus :)
Aankomend sender identification? Ik kan nu al alleen thuis mailen. Als ik ergens anders ben met mijn laptop moet ik webmail gebruiken, daar erger ik mij dood aan!
Ik denk dat er al zo'n pakket is (hoe zou de FBI anders aan 1 miljoen adressen komen van "verdachte" computers?).

ISP's hun pearing laten verliezen is natuurlijk onzin. Daarmee dupeer je heel veel mensen terwijl het effect minimaal is. Of verwacht jij dat er een commissie van "wijze mannen/vrouwen" komt die gaat beoordelen of ISP x weer toegang mag hebben?

Dat ISPs een actieve(re) rol mogen gaan spelen heb ik geen probleem mee, hoewel dat waarschijnlijk ook weer hogere abonnementskosten gaat betekenen: als ISPs kosten moeten gaan maken om dataverkeer te analyseren zullen ze dat toch ergens vandaan moeten kunnen halen...
Veel spamfilters houden toch ook al mailtjes tegen die (vrijwel) geheel uit plaatjes bestaan?
Ja en Nee. Ik ga even uit van spamassassin, want dat is het meest gebruikte spamfilter. Op een email bericht worden tal van controles los gelaten. Een van die controles is inderdaad de html dichtheid. Een dichtheid van 80-100 zal inderdaad een hogere score geven dan een van 40-60. Logisch. Maar alleen images sturen is voor de meeste spamfilter (ik zou bijna zeggen gelukkig) nog niet voldoende om de mail te blokkeren.

Echter de meeste spam berichten doen zich voor alsof ze van een andere provider afkomen (yahoo, hotmail, aol, gmail, etc) en daarop krijgen de meeste berichten de hogere scores. Daarnaast wordt ook gecontroleerd of een afzender, op basis van ip, niet in een (remote) blacklist staat (zoals die van orbs of spamcop).

De meestal spam filters markeren een mail als de een score van 5 of hoger krijgt. Zeer strenge filter doen dit al bij een score van 3. Maar alleen de html detectie is niet voldoende om een mail als spam te markeren.
hmm jammer dat m'n promotie mailtjes van eurosys.Be ook 95% plaatjes zijn..

en enkel een http link onder met 'html versie'
Ik zou zeggen ga bij eurosys klagen. Zij zullen hun mailtjes ook liever niet in de spambox van klanten laten terechtkomen.
Ik blokkeer al geruime tijd image-only mail.
Ik ben van mening dat spamfilters niet de oplossing zijn voor het probleem; dat zijn de ISP's! Er zijn talloze buitenlandse ISP's die de spam gewoon toelaten en soms zelfs een open relay vormen met botnets van duizenden computers die ongestraft zonder login SMTP servers kunnen gebruiken.

De oplossing; verplicht inloggen bij SMTP servers met gebruikersnaam en wachtwoord van ISP, en het BETER loggen van ISP's van emailverkeer. Op deze manier is dit probleem heel erg snel de wereld uit.
ja, de politiestaat, dat is de oplossing... :'(
Denk jij nou serieus dat een oplossing die alleen werkt als heel de wereld er aan meewerkt (dus ook de lakse, ondeskundige en/of kwaadwillende mensen), ook maar enige kans van slagen heeft?

Als jij geen spam wil, zul je moeten zorgen dat jij geen spam ontvangt. Proberen om de hele wereld te verplichten jou geen spam te sturen, is ernstig naïef.
Ik ben geen voorstander van spam, maar een nog veel groter tegenstander van mensen die anderen beperkingen op proberen te leggen omdat zij zelf een probleem hebben. (die laatste hebben nl nogal de neiging een probleem enkel te benaderen vanuit hun eigen positie)
Volgens mij begrijp je me niet. Wat ik suggereer is het aanpakken van de spam, de normale gebruiker krijgt hierdoor GEEN beperkingen! Spam cleanen is dweilen met de kraan open.
Dit heeft enig nut.

Maar een vinkje bij "wachtwoord onthouden" en voila elke computer die een email account heeft kan weer sturen.
Alleen als de bot via outlook mailt... en de gebruiker uberhaubt outlook gebruikt :P
Wat ik me dus afvraag, hoe kunnen spammers ongemerkt 10000-en mailjes versturen met dezelfde inhoud? Dat valt toch op? Kijk, massamail komt vaker voor bij bijv. een nieuwsbrief van een groot bedrijf, maar dat is een betrouwbare en bekende bron. Maar als een onbekende bron ineens 10000 mails verstuurd, vind ik dat dat per definitie geblokkeerd moet worden. En meerdere computers die geïnfecteerd en daardoor spam versturen, sturen misschien geen 10000 mails, maar ze sturen gezamelijk wel heel veel email met dezelfde inhoud. Waarom kan dit niet door de ISP geblokkeerd worden? (Van Multikabel kreeg ik vorig jaar een telefoontje, dat er vanaf mijn IP spam verstuurd zou worden. Dat bleek dus mijn vaders computer te zijn, na een grondige virusscan. Dat vond ik toen wel netjes van Multikabel.)
Ze kunnen dit doen doordat onwaarschijnlijk grote hoeveelheden computers besmet zijn met bots. De hoeveelheden verstuurde mail per bot vallen enorm mee, daar word wel voor gezorgd. Beetje botnetwerk bevat 10-duizenden mails.
Ik heb tot heel recent bij een bedrijf gewerkt dat ook een hostingdienst heeft, wel eens in dooie uurtjes een stapeltje spam doorgewerkt (dat meestal wel netjes in aparte spam-box zat), en doorgezocht naar IP-adressen, om hier de provider even bij te zoeken (vrij makkelijk via WHOIS en RIPE-database), redelijk wat positieve uitwerking gehad. Meest positieve reactie die ik heb gehad is overigens van spam die via een scholengemeenschap in Nederland werd verstuurd via een XS4all lijn, dit was spam naar een prive-mailbox, en hier had ik om 22.00 een abuse mail over gestuurd die om 23.00 (persoonlijk) werd beantwoord, en de volgende dag een mailtje dat het in samenwerking met die scholengemeenschap was opgelost...

editje:
Trouwens echt ongelooflijk hoeveel resources spamafhandeling neemt (OCR + gewone tekstscanning + spam-blacklist(DNS), en voor de niet-herkende spam ook nog het afhandelen van bounces). Mailserver met maar ongeveer 1000 mailboxjes stond aardig te zweten met slechts 1GB ram toegewezen virtueel.

[Reactie gewijzigd door thegve op 8 juli 2007 22:51]

>Wat ik me dus afvraag, hoe kunnen spammers ongemerkt 10000-en mailjes versturen met dezelfde inhoud? Dat valt toch op?

volgens mij is ge Gmail spamfilter ook deels op dit principe gebaseerd, als zij 500 identieke mailtjes zien langskomen, dan gaan die hoppa zo bij iedereen de spambox in.

ik denk dat ik het emailen maar laat binnenkort, dat ik wel ff skype of een andere IM gebruik om te melden dat ze een bestand kunnen ophalen van de webserver :P
want als mailen echt op sterven na dood is (zijnde genoemd: mail mag alleen nog maar vananf je geregistreerde thuisadres) dan wil er bij mij niet in..
op een of een andere manier krijg ik dit soort spam nooit... zal het aan norton liggen?
Kan... of je zit achter een mailserver die aan greylisting doet. Ik gebruik sinds een paar maanden zelf greylisting op mijn mailserver, en ben van 30 spammails per dag naar zo'n 5 per week gegaan.

Simpel idee:

- De combinatie (verzender IP, verzender e-mail, ontvanger e-mail) wordt bekeken van elk mailtje dat er binnen komt.
- Combinatie nog niet gezien? Dan expres een tijdelijke SMTP fout teruggeven in de trant van 'oeps probeer zo nog eens'. Combinatie al eens geaccepteerd? Dan meteen accepteren.
- Vijf minuten later een nieuwe poging wel accepteren (deze tijd is in te stellen)

De meeste spamsoftware probeert niet nogmaals te verzenden bij een tijdelijke SMTP fout (code 4xx), terwijl een echte mailserver dit verplicht is per RFC. De enige bijwerking dit ik nu heb is dat elke eerste e-mail met een bepaalde combinatie (IP,from,to) een aantal minuten vertraagd wordt.

Wat erg mooi is, is dat deze filter op SMTP niveau werkt, en mails die er niet doorheen komen dus nooit langs een filter a la spamassassin komen. Ik zou zo'n content filter kunnen installeren voor de paar mails die door de greylist heen komen, maar voor die paar mails kost het me teveel tijd. Dergelijke mails gaan nog wel even door wat RBL checks heen zoals Spamhaus e.d.

[Reactie gewijzigd door Sfynx op 9 juli 2007 01:04]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True