Au cours des deux dernières semaines, nous avons reçu une forme de spam via notre formulaire de contact de site Web que je n'avais jamais vu auparavant.
Cela ressemble à ceci:
Name: iYvNgmpTLwxqaCj
Company: lqidQuVNMhIJsz
E-Mail: [email protected]
Country: Please select...
Phone: 5217200934
Address: OsHSnquoU
Privacy Policy accepted: iaccept
Message:
MCGELokRdhvTQYK
Les entrées du spammeur pour former des champs sont les parties après les deux-points.
Remarque: j'ai changé l'adresse e-mail . Cela ressemblait à une adresse e-mail légitime d'une grande entreprise, par exemple [email protected]
. C'est toujours le cas.
Tous les autres champs contiennent des chaînes aléatoires de ASCII. Le numéro de téléphone semble être un nombre aléatoire. Le champ de confidentialité est rempli à partir d'une case à cocher.
Un autre fait est: nous recevons toujours exactement deux de ces messages en même temps. Ni plus, ni moins. La fréquence est en moyenne de 1 à 2 tentatives par jour.
Quelqu'un a-t-il une idée de l'objectif d'un tel spam?
Questions similaires précédentes:
Mes idées:
La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les cotes générales et le faible nombre de tentatives (deux).
Informations complémentaires
Après un certain temps de traitement du spam, voici quelques informations supplémentaires:
Prévention
Comme nous ne voulions pas implémenter Recaptcha car notre site est autrement sans Google, nous avons essayé deux atténuations de captchas simples.
Nous avons posé une question, par exemple "Sélectionnez l'image de la personne célèbre xy", avec deux boutons radio avec des images à côté. L'utilisateur devait sélectionner l'image correcte. Le bon était le deuxième radiobutton. Cela n'a pas fonctionné, probablement parce que les cases ont été sélectionnées au hasard par le bot.
Nous avons remplacé la question par une simple question mathématique, par exemple "Veuillez résoudre 4 + 2 =", avec un simple champ de saisie de texte. La question utilise même toujours les mêmes chiffres. Cela fonctionne pour l'instant . Je soupçonne que le bot remplirait ses caractères aléatoires dans la case, qui n'est évidemment pas le bon numéro.
J'espère que ça aidera quelqu'un.
La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les chances générales et le faible nombre de tentatives (deux)
Votre idée n'est pas si mauvaise. Cela peut prendre 2 tentatives par jour pour contourner les politiques de verrouillage courantes à 3 tentatives.
Remarque: j'ai changé l'adresse e-mail. Cela ressemblait à une adresse e-mail légitime d'une grande entreprise, par exemple [email protected]. C'est toujours le cas.
Prouve davantage votre point. Essayez d'exécuter l'adresse via haveibeenpwned.com et voyez si elle s'est produite dans une violation. Si tel est le cas, vous pouvez traiter un cas de bourrage d'informations d'identification.
La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les chances générales et le faible nombre de tentatives (deux)
Je ne pense pas que ce soit le cas.
Le spam de caractères aléatoires peut être utilisé pour déterminer le fonctionnement de votre système et les mécanismes de prévention que vous avez mis en place.
Je suggère de regarder par exemple https://www.abuseipdb.com/ afin de vérifier si l'adresse IP d'envoi est connue comme malveillante.
D'après mon expérience, 90% des attaquants utilisent des adresses IP de Chine, de Russie ou d'Asie en général.
J'aime http://www.utrace.de/ pour simplement avoir un aperçu rapide du type d'adresse IP avec lequel j'ai affaire.