Sorge um Sicherheit aufgrund von Fake-Konten

[Matty_10]

Hallo liebe Community,

in meinem Shop werden seit gestern Nacht immer wieder offensichtliche Fake Kundenkonten erstellt.
Bsp:
Name: adfs sgregr
Strasse: afwretwfasfv
etc.

Nun habe ich natürlich ein bisschen Sorge was genau der Sinn und das Ziel dieser "Kunden" ist.

Bislang habe ich alle dieser Konten umgehend gelöscht und die IP-Adressen der Ersteller auf die Blacklist gesetzt.

Hattet Ihr vllt. schonmal einen ähnlichen Fall in Eurem Shop und könnt mir sagen, wie ich mich hier am besten verhalten soll bzw. wie ich meinen Shop schützen kann?

Vielen Dank im Voraus.

LG,

Matthias

Linkback: https://www.modified-shop.org/forum/index.php?topic=40400.0

[Viol]

Was sagen die IP Adressen denn aus? Wo kommen die von Dir genannten Fake Nutzer denn her?

[Matty_10]

Die kamen allesamt aus dem Ausland, bspw. aus Indien, Peru, Ecuador und Russland.

[noRiddle (revilonetz)]

Das machen mit hoher Wahrscheinlichkeit Bots. Akiviere mal
Erw. Konfiguration => Captcha => "Captcha aktivieren" => "Registration"
und falls das bereits aktiviert ist und/oder nicht hilft ändere die Farben des Captchas (selber Menupunkt etwas tiefer), sodaß sie für einen Menschen noch erkennbar sind, für einen Bot jedoch wahrscheinlich eher nicht. Will sagen einfach mal mit "Hintergrundfarbe", "Linienfarbe", "Zeichenfarbe" und "Anzahl an Linien" experimentieren. Kann man dabei auch noch ans Shop-Design anpassen.
=> Beispiel
Mit dieser Vorgehensweise hatte ich bislang immer Erfolg.

Gruß,
noRiddle

[fishnet]

Das passiert gerade wieder bei einigen Händlern. Auch solchen bei denen die letzte Welle mit E-Mail Adressen im Namen lief und wir daraufhin die Namensfeldereingabe auf das @ Zeichen hin überprüft haben.
Stattdessen sind es nun halt Namen wie OIPQERDSF.

Ich überlege gerade, ob man hier nicht auch wieder mit dem zeitbasierten Ansatz arbeiten könnte. Wenn der neue Kunde sein Formular unter 2 Sekunden ausfüllt und abschickt, ist es ein Bot.

 

[Timm]

In einem von zwei Shops passiert das auch mehrfach täglich seit kurzem bei uns. Ziemlich nervig.

Shopversion ist 2.0.4.2 aber Standard ohne die Lösungsansätze von @p3e. Und ohne das von @noRiddle vorgeschlagene Captcha. Vielleicht müssen wir das noch integrieren. Ungern natürlich, weil es die Registrierung erschwert.

Gruß Timm

[p3e]

Beim Registrieren würde ich die zwei Sekundenregel wie bei meiner Lösung beim Kontaktformular nutzen (ich glaube dass meintest Du, Timm). Ich denke auch, dass es hier ohne Captcha besser ist. Wahrscheinlich reicht das bereits.
Wichtig ist, dass keine Fehlermeldung erfolgt, so dass der Bot nicht darauf gestoßen wird, dass die Registrierung nicht funktioniert hat. Sollte idealer Weise so aussehen als wäre die Registrierung erfolgt.

[Timm]

Ja genau. Da fishnet den zeitbasierten Ansatz ins Spiel gebracht hat, hatte ich mich an deine Lösung beim Kontaktformular erinnert.

ANLEITUNG: Kontaktformular zusätzlich zum Captcha gegen SPAM Bots absichern

Allerdings funktioniert dieser nur in Verbindung mit dem Captcha, was ich aber ungern bei der Registrierung einsetzen möchte. Im Kontaktformular finde ich es ok, weil sich Kunden mittlerweile daran gewöhnt haben und verstehen, dass es sonst zu Spam kommt. Bis viele Händler auch ihr Registrierungsformular mit einem Captcha absichern wird es sicher noch dauern. Erst dann werden Kunden verstehen, dass es auch darüber zu Spam kommen kann und es akzeptieren. So finden sie es zurecht umständlich.

Hier ANLEITUNG: SPAM über die Kontoerstellung verhindern hattest du Spam mit http Adressen im Nachnamen ausgeschlossen. Nun versuchen die Bots das bei der Registrierung anscheinend anders, wobei mir nicht ganz klar ist, was sie damit erreichen wollen, da jemand Fremdes einfach eine Mail der Shopanmeldung mit Vor und Nachnamen nach dem Muster dsdefed swefwqs bekommt und darin keine Werbung mehr enthalten ist. In deiner Antwort hattest du auch geschrieben, dass du es mit einem Zeitstempel bei der Registrierung probierst, sollte die http-Sperre nicht fruchten (was ja nun der Fall ist, da sie es anders machen). Hattest du da schon was entwickelt bzw würdest du im verlinkten Thread?

Leider ist die zeitbasierte Variante nicht vom modifiedTeam übernommen worden, sondern es wurde ein neues PHP Captcha integriert. Selbst wenn es durch ein Captcha nicht mehr oder zu weniger Spam kommen würde, fände ich eine zeitbasierte Variante für den Kunden einfacher. Mal abgesehen davon, dass diese Captchas echt häßlich und altbacken wirken und nicht zu einer modernen Seite passen. Irgendwann werden aber auch da die Bots dazulernen und sich mehr Zeit lassen beim ausfüllen der Registrierung oder mehrere Versuche an sich selbst probieren, um die Filterzeit herauszubekommen. Vielleicht ist das dann aber auch zu umständlich, wenn sie nur noch 1 statt 5 Spams verschicken können. Selbst diese Verbrecher müssen ihre Crawlingzeit wohl effizient verteilen.

Gruß Timm

[Timm]

Nur sicherheitshalber eine Nachfrage: Eine zeitbasierte Variante der Registrierung hat keinen Einfluss auf die Registrierung per Amazon pay oder Paypal Express weil die Adresse direkt in die DB geschrieben wird und nicht über das Registrierungsformular, oder?

Gruß Timm

[noRiddle (revilonetz)]

AmazonPay und PayPalCart dürften in keiner Weise auf /create_(guest_)account.php zugreifen.
Das Problem die Zeitmessung da einzubauen ist ein Anderes:
Im Falle des Kontaktformulars kann man den Beginn der Zeitmessung in die /display_vvcodes.php verlagern, bei der /create_(guest_)account.php müsste man, wenn man kein Captcha benutzen möchte, den Beginn der Zeitmessung in die Datei selbst schreiben.
Da bei Absenden des Formulares jedoch an die Datei selbst ge-post-et wird würde dadurch die Zeit immer wieder zurückgesetzt auf den Anfang und kein Kunde käme mehr mit Kontoerstellung durch.
Zumindest sehe ich auf die Schnelle keine Möglichkeit das dort zu machen ohne komplexe if-Konstruktionen und unset() der Zeit-Session an den richtigen Stellen.
Von der mangelnden Möglichkeit das update-sicher einzubauen wollen wir mal nicht reden.
Was die letzten beiden Sätze betrifft lasse ich mich allerdings gerne belehren.
Vielleicht irgendwie mit

Code: PHP  [Auswählen]

if(!isset($_POST['action']) || (isset($_POST['action']) && $_POST['action'] != 'process')) {

den Zeitbeginn setzen und innerhalb

Code: PHP  [Auswählen]

if(isset($_POST['action']) && ($_POST['action'] == 'process')) {

dann die Messung beenden...

Schwer wird es wenn man die Funktion testen will. Wer hat schon einen Bot zur Verfügung...

Gruß,
noRiddle

[Timm]

Schwer wird es wenn man die Funktion testen will. Wer hat schon einen Bot zur Verfügung...

Die kommen von ganz allein 

Danke für deine Ausführungen. Vielleicht ergibt sich ja was und vielleicht sogar was updatesicheres über die Zeit. Ich hab erstmal zwangsweise das Captcha eingefügt, nachdem heute 10 Konten innerhalb einer Stunde angelegt wurden. Seit dem ist Ruhe. Wobei mir echt der Sinn darin vorborgen bleibt. Da ist ja nirgends Werbung mit drin.

Gruß Timm

[p3e]

Bei mir fängt das jetzt auch an mit den Fake Accounts.
Ich habe gerade gar keine Zeit aber wenn das Problem größer wird als mein Zeitmangel, dann setze ich mich da mal dran.
Captcha in der Registrierung will ich nicht. Also reine Zeitlösung.

[noRiddle (revilonetz)]

p3e, wenn du die Zeit findest versuche doch bitte mal meinen Ansatz aus Antwort #9.
Vielleicht finde ich aber auch vor dir die Zeit und melde mich dann hier nochmal dazu.

Gruß,
noRiddle

[Timm]

@p3e
So leid mir das für dich tut, freue ich mich, dass dann wieder Schwung in die Sache kommt.

Danke dir!

Gruß Timm

[p3e]

p3e, wenn du die Zeit findest versuche doch bitte mal meinen Ansatz aus Antwort #9.
Vielleicht finde ich aber auch vor dir die Zeit und melde mich dann hier nochmal dazu.
[...]

Ja, das ist auf jeden Fall ein guter Ansatz. Um es updatesicher zu machen, könnten man über die aplicationtop gehen und denn genutzten Filename oder die URL abfragen.

@p3e
So leid mir das für dich tut, freue ich mich, dass dann wieder Schwung in die Sache kommt.

Danke dir!
[...]

Wie gesagt, ich habe momentan kaum Zeit. Aber genau die braucht man, wenn man sicher sein will, nicht den falschen auszuschließen. Es steht aber auf meiner ToDo Liste.