web-dev-qa-db-fra.com

Pourquoi recevons-nous du spam de formulaire de contact avec des caractères aléatoires?

Au cours des deux dernières semaines, nous avons reçu une forme de spam via notre formulaire de contact de site Web que je n'avais jamais vu auparavant.

Cela ressemble à ceci:

Name:   iYvNgmpTLwxqaCj
Company:    lqidQuVNMhIJsz
E-Mail: [email protected]
Country:    Please select...
Phone:  5217200934
Address:    OsHSnquoU
Privacy Policy accepted:    iaccept


Message:
MCGELokRdhvTQYK

Les entrées du spammeur pour former des champs sont les parties après les deux-points.

Remarque: j'ai changé l'adresse e-mail . Cela ressemblait à une adresse e-mail légitime d'une grande entreprise, par exemple [email protected]. C'est toujours le cas.

Tous les autres champs contiennent des chaînes aléatoires de ASCII. Le numéro de téléphone semble être un nombre aléatoire. Le champ de confidentialité est rempli à partir d'une case à cocher.

Un autre fait est: nous recevons toujours exactement deux de ces messages en même temps. Ni plus, ni moins. La fréquence est en moyenne de 1 à 2 tentatives par jour.

Quelqu'un a-t-il une idée de l'objectif d'un tel spam?

Questions similaires précédentes:

Mes idées:

La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les cotes générales et le faible nombre de tentatives (deux).

Informations complémentaires
Après un certain temps de traitement du spam, voici quelques informations supplémentaires:

  • Bien que j'aie initialement signalé 2 messages de spam par essai, en fait, le bot a essayé 62 fois. La plupart n'ont pas été autorisés à envoyer, car la case "Politique de confidentialité accepte" n'a pas été cochée. Cela indique que:
    • C'était en effet un bot, car la façade du site empêche également l'envoi du formulaire sans la case cochée (côté client).
    • Les cases à cocher et les radiobox sont probablement sélectionnées au hasard
  • Si la case de confidentialité n'était PAS cochée, le formulaire ne contenait également aucun autre contenu (champs vides).
  • Par tentative de 62 tentatives, la même IP a été utilisée. Dans des tentatives ultérieures, une adresse IP différente a été utilisée.
  • Comme Seb_Schulz l'a suggéré, j'ai exécuté les adresses de messagerie via HaveIBeenPwned, mais la plupart d'entre elles ne se sont pas présentées. Alors peut-être que ça vient d'une nouvelle fuite. Cependant, il se peut que les adresses ne soient pas valides. Bien que les domaines existent tous, je n'ai généralement pas pu trouver la personne particulière associée (par exemple, si le domaine est une université avec une liste publique de personnes).

Prévention
Comme nous ne voulions pas implémenter Recaptcha car notre site est autrement sans Google, nous avons essayé deux atténuations de captchas simples.

  1. Nous avons posé une question, par exemple "Sélectionnez l'image de la personne célèbre xy", avec deux boutons radio avec des images à côté. L'utilisateur devait sélectionner l'image correcte. Le bon était le deuxième radiobutton. Cela n'a pas fonctionné, probablement parce que les cases ont été sélectionnées au hasard par le bot.

  2. Nous avons remplacé la question par une simple question mathématique, par exemple "Veuillez résoudre 4 + 2 =", avec un simple champ de saisie de texte. La question utilise même toujours les mêmes chiffres. Cela fonctionne pour l'instant . Je soupçonne que le bot remplirait ses caractères aléatoires dans la case, qui n'est évidemment pas le bon numéro.

J'espère que ça aidera quelqu'un.

7
Jens

La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les chances générales et le faible nombre de tentatives (deux)

Votre idée n'est pas si mauvaise. Cela peut prendre 2 tentatives par jour pour contourner les politiques de verrouillage courantes à 3 tentatives.

Remarque: j'ai changé l'adresse e-mail. Cela ressemblait à une adresse e-mail légitime d'une grande entreprise, par exemple [email protected]. C'est toujours le cas.

Prouve davantage votre point. Essayez d'exécuter l'adresse via haveibeenpwned.com et voyez si elle s'est produite dans une violation. Si tel est le cas, vous pouvez traiter un cas de bourrage d'informations d'identification.

3
Seb_Schulz

La chose à laquelle je pouvais penser est le renforcement des mots de passe, dans la mesure où le bot ne remarque pas qu'il se trouve sur un formulaire de contact et essaie simplement de se connecter avec une adresse e-mail et un mot de passe aléatoire. Cependant, les chances de ce fonctionnement sont astronomiquement faibles, étant donné les chances générales et le faible nombre de tentatives (deux)

Je ne pense pas que ce soit le cas.

Le spam de caractères aléatoires peut être utilisé pour déterminer le fonctionnement de votre système et les mécanismes de prévention que vous avez mis en place.

Je suggère de regarder par exemple https://www.abuseipdb.com/ afin de vérifier si l'adresse IP d'envoi est connue comme malveillante.

D'après mon expérience, 90% des attaquants utilisent des adresses IP de Chine, de Russie ou d'Asie en général.

J'aime http://www.utrace.de/ pour simplement avoir un aperçu rapide du type d'adresse IP avec lequel j'ai affaire.

2
dmuensterer