Gewinnspiel - Automatisierte Einträge verhindern?

[hgw]

Hallo liebe Internet-Marketer,

ein Kunde von mir hatte ein Gewinnspiel auf seiner Seite laufen. Recht erfolgreich - in der Datenbank landeten 250.000 Teilnehmer. Allerdings kamen vermutlich 98% dieser Teilnehmer über automatisierte Einträge zustande. Ich hatte versucht, automatisierten Eintragungen mit einer Rechenaufgabe im Formular entgegenzuwirken, das hat aber offenbar nur den wirklichen Spam verhindert, nicht automatisierte Einträge.

Top-Referer waren etwa http://www.gewinnspiele.com, http://gewinnspiele.super-illu.de, http://www.abcgewinnspiele.de, http://www.happy-spots.de, http://www.gewinnspiele.at,

Die 250.000 Addressen sind natürlich alles andere als ein qualifiziertes Zielpublikum. Wie verhindert Ihr diese vielen automatisierten Einträge? Wie machen die das technisch - würde ein visuelles Captcha die automatisierten Einträge verhindern? Man lernt ja nie aus!

Danke vorab!
Heinz-Günter Weber

 

[Florian Hodel]

Wie hast du denn die Rechenaufgabe programmiert? Ist die dynamisch oder statisch? Klingt nach einer interessanten Idee

Wirkungsvoller ist aber wohl trotzdem immernoch das gute alte Capcha.
Wichtig ist, dass du so viel wie möglich überprüfst (Syntax der Mailadresse etc.).

 

[Jürgen Auer]

Captchas helfen nix, wenn die 'ausgeliehen' und bsp. auf einer Sexseite von Interessierten beantwortet werden.

Sieh dir an, was die Bots genau schicken.

Ich hatte vor längerer Zeit diese Beobachtungen gepostet, die eigentlich immer noch gelten. Auf server-daten spielt das weiterhin keine Rolle, obwohl es regelmäßig Versuche gibt.

1. Simpler Versuch (statische Lösung): Ergänze ein Hidden-Feld, belege das mit irgendeinem Wert, prüfe diesen ab.

2. Wenn das nicht reicht, belege das Feld bsp. mit einem Timestamp-Wert, prüfe, ob der zurückgesandte Wert auch wieder als Timestamp konvertierbar ist und ob er nicht zu alt ist (< 1 Minuten).

3. Bei server-daten beruht die Logik (unabhängig von Spambots) darauf, daß eine Seite mehrere Formulare und jedes Formular mehrere Buttons enthalten kann. Beim Klick wird per JavaScript ein Hidden-Feld mit dem Namen des Buttons belegt, das Hidden-Feld war davor leer. Nur wenn einer dieser Namen, die ansonsten bloß im Aufruf der JavaScript-Funktion vorkommen, in diesem Feld zurückgeschickt werden, wird überhaupt etwas gemacht.

Die Logik läßt sich durchaus 'klauen' und zur Reduktion solcher Dinge verwenden.

 

[Max Klinger]

Und als kleine Ergänzungen solltest du natürlich auch an die IP-Sperre und Emailblacklist denken. Eintragsdienste verwenden meist eigene Emailadressen und diese lassen sich ja ganz bequem blockieren.

 

[hgw]

Danke für die bisherigen Vorschläge! Wir haben das neue Gewinnspiel mit einem Captcha ausgestattet.

Blacklists mit IP/Server-Adressen von Gewinnspiel-Eintragsdiensten habe ich bislang noch keine entdeckt, habt Ihr da Tipps dazu?

Danke auf jeden Fall!

Heinz-Günter Weber

 

[TSc]

Grade zur Antwort von Jürgen würde mich interessieren ob noch jemand aktuelle Zahelen dazu hat wie viele Surfer JS deaktiviert haben.

Ansonsten sind hier ein paar nette Gedankenansätze dabei.

 

[hgw]

Hallo TSc,

wir haben aktuell über etracker ermittelt 1,18% Nutzer, bei denen JavaScript nicht möglich war. Bezieht sich auf den Auftritt www.china-reisen.de und dessen Schwesterseiten. Cookies haben 2,88% nicht akzeptiert. Basis dazu sind ca. 10.000 Besucher.

Bei den Vorschlägen von Jürgen würde ich zunächst eher denken, dass die zwar gegen simpleres Roboter-Spamming helfen, aber nicht gegen automatisierte Forrmulareinträge der Gewinnspiel-Eintragsdienste. Die Formularverarbeitung ist in unserem Fall in ein anderes Dokument ausgelagert, man hätte evt. noch prüfen sollen, ob dies von der Gewinnspiel-Seite aus aufgerufen wurde oder nicht (es wurde nur die Domain überprüft, müsste aber auch gereicht haben...).

Der Vorschlag mit dem JavaScript-aktivierten hidden-Wert ist mir schon einleuchtender. Aber ich halte diese Eintragsdienste fast für so schlau, auch mit JavScript umgehern zu können. Die müssen nur den hidden-Wert herausfinden und rufen ab dann die Verarbeitungsseite mit diesem Parameter auf (Bin aber nicht der Server-Experte).

Das Captcha erfüllt zur Zeit offenbar seinen Zweck, oder die Eintragsdienste haben die Seite noch nicht entdeckt ...

Nachtrag 13.1.2008: Zwei Wochen hat es mit dem Captcha gehalten, dann brau cer Damm ... Captcha auf ransom(0,99999) umgestellt jetzt bremst es die bots wieder aus ...

 

[beinhart]

Automatisierte Einträge abfangen?

In meinem Gewinnspiel

http://www.verkaufsgrafiken.de/gewinnspiel/

trage ich die Gewinnspiel-Teilnehmer direkt in einen Autoresponder ein.

Den Eintrag muss der Teilnehmer dann mit einem Freischaltlink in seiner EMail bestätigen.

Was haltet Ihr von dieser Lösung?

Grüsse
b.

 

[TSc]

Garnichts.
Autmatisiert ein Mailfach auslesen und Links zu öffnen ist eine der kleinsten Übungen.


Danke für die Zahlen, hgw.

 

[Jürgen Auer]

QUOTE (TSc @ Di 9.09.2008, 19:44)Autmatisiert ein Mailfach auslesen und Links zu öffnen ist eine der kleinsten Übungen.

Und deshalb verschicke ich nicht solche Mails.

Sprich: Enthalten Bestätigungsmails keinen Link, auf den man klicken muß, sondern eine andere Lösung, scheitern die Spambots daran.

Etwa folgendes:


QUOTE Kopieren Sie den folgenden Schlüssel

AF7F20A8-0914-4180-AD6E-DF32B17F910E

in das Feld ...


Damit gibt es keinen verfolgbaren Link mehr.

 

[TSc]

Meine Antwort bezog sich auch nicht auf dich sodern auf Beinhard.

Der zu kopierende Code ist eine nette Idee, kann aber natürlich auch relativ leicht automatisiert werden wenn die Botbetreiber sich die Mail einmal ansehen.
Sprich: Textposition auszählen, Code lesen, Code automatisiert übertragen.

Das könnte man ausbremsen wenn man die Mail aus zufällig ausgewählten Textbausteinen zusammensetzt so das sich Position und umgebende Wörter des Codes ständig ändern.

 

[Jürgen Auer]

QUOTE (TSc @ Di 9.09.2008, 20:26)Meine Antwort bezog sich auch nicht auf dich sodern auf Beinhard.

Das hatte ich schon verstanden.

Mir war bloß irgendwann einmal aufgefallen, daß ich diese Methode - keine anklickbaren Links zu verschicken - noch gar nicht erwähnt hatte.

Es gibt inzwischen auch 'rotierende Bots', die bei mir zunächst durchkommen. Die müssen das mit irgendeiner Rotation der gefundenen Feldwerte versuchen.

Allerdings lassen die sich über die oben skizzierte simple Zeitsperre abblocken. Es müssen mindestens 5 Sekunden zwischen Aufruf und Absenden des Formulars liegen.

Ich habe ein 'Testformular' (heißt 'kontaktformular.html', liegt auf beispiel), da habe ich die Sperre nicht drin. Da kommen immer wieder Spameinträge rein. Mein tatsächliches Kontaktformular hat diese Sperre - und ist spamfrei, ohne Captcha.

 

[Soka]

Ich habe selbst schon mal so einen Gewinnspiel-Bot (im Auftrag) erstellt.
Seriöse Gewinnspiel-Agenturen reicht eigentlich ein Hinweis, dass automatische Eintragungen nicht erwünscht sind.
Davon mal abgesehen, sind diese Gewinnspiel-Bots nicht so 'kriminell veranlagt', daß sie auf biegen und brechen an jedem Gewinnspiel teilnehmen müssen, wie z.B. solche Bots die Werbung in Foren posten. Das sollte mal in diesem Thread nicht verwechseln.
Und wenn doch mal ein schwarzes Schaaf unter den Gewinnspiel-Bots drunter sein sollte, dann schau mal in die Datenbank und vergleiche die IPs mit dem Timestamp. Wenn du dort massiv Doubletten vorfindest, ist es ein Bot gewesen. Diese kannste dann ruhigens Gewissens löschen.
Ok, die IP kann man fälschen. Aber wie gesagt, die Gewinnspiel-Agenturen haben es einfach nicht nötig, da es genug andere Gewinnspiele gibt....

Gruß
Peter

 

[TSc]

Ich denke der Thread hat sich mittlerweile auch eher auf allgemeine Bot-Blocker ausgeweitet, daher nicht krumm nehmen.

 

[Joel]

QUOTE
Ich habe ein 'Testformular' (heißt 'kontaktformular.html', liegt auf beispiel), da habe ich die Sperre nicht drin. Da kommen immer wieder Spameinträge rein. Mein tatsächliches Kontaktformular hat diese Sperre - und ist spamfrei, ohne Captcha.


Taug aber NIX sobald deine Seite irgendwie den Anreiz hat gehackt zu werden... Dass mal die Standard-Bots nicht direkt durchkommen ist ja schön und gut, aber in 15 Minuten ist so etwas umgangen ...

Und sobald sich solche Tipps verbreiten werden auch die Standards-Bots nachziehen und schlussendlich muss doch jeder Captchas installieren der sicher sein will...

 

[TSc]

QUOTE (Joel @ Di 9.09.2008, 21:36)
Und sobald sich solche Tipps verbreiten werden auch die Standards-Bots nachziehen und schlussendlich muss doch jeder Captchas installieren der sicher sein will...

Nur das Captchas auch nicht viel bringen.

Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.
So what...

 

[Joel]

QUOTE
Nur das Captchas auch nicht viel bringen.

Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.
So what...


Stimmt einfach nicht, solange genug zufällige Parameter in einem Captcha sind, sind sie auch nicht zu lösen! - Es gibt "gute" und schlechte Captchas...

z.B. die Captchas von Google sind mit dem heutigen Stand der Technik gar nicht zu lösen...und es gibt genug "Hacker" die das versuchen und einen grossen Aufwand betreiben.... Klar könnte es sein, dass sie mit monatelanger Arbeit das Captcha von Google irgendwie lösen könnten .. nur dann passt man 2-3 parameter an, verändert die schrift, den verzerrungsalogrhytmus, etc.

--

Websites mit obigen Tipps hackt man in 10 Minuten ... gute Captchas in mehreren Jahren und das ist ein wesentlicher Unterschied..

 

[TSc]

Du willst das C also so verzerren das es der User der es für ein paar Cent in Indien manuell löst nicht mehr erkennen kann?

Guuute Idee...

 

[Joel]

QUOTE
Du willst das C also so verzerren das es der User der es für ein paar Cent in Indien manuell löst nicht mehr erkennen kann?

Guuute Idee...



Es geht in diesem Thread darum automatische Einträge zu verhindern und es geht nicht darum zu verhindern dass ein Benutzer mehrere Einträge macht... Dafür gibt es andere Methoden (z.B. SMS-Verifizierung, Post-Verifizierung wie es z.B. Ricardo macht)...



QUOTE
Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.



Aber da hast du recht, wenn diese Preise stimmen.

Ein Captcha allein ist auch nicht die Lösung aller Probleme, wenn du z.B. eine IP-Sperre machst brächten sie zusätzlich noch ein Botnetz um 1000 Einträge zu machen....

-->> OK und man muss auch immer abwägen was für ein Security-Level man will und wie hoch man die Hürden stellen muss um nicht zu viele Benutzer zu verlieren.