Sign in to follow this  
Guest

Gewinnspiel - Automatisierte Einträge verhindern?

Recommended Posts

Guest hgw
Hallo liebe Internet-Marketer,

ein Kunde von mir hatte ein Gewinnspiel auf seiner Seite laufen. Recht erfolgreich - in der Datenbank landeten 250.000 Teilnehmer. Allerdings kamen vermutlich 98% dieser Teilnehmer über automatisierte Einträge zustande. Ich hatte versucht, automatisierten Eintragungen mit einer Rechenaufgabe im Formular entgegenzuwirken, das hat aber offenbar nur den wirklichen Spam verhindert, nicht automatisierte Einträge.

Top-Referer waren etwa http://www.gewinnspiele.com, http://gewinnspiele.super-illu.de, http://www.abcgewinnspiele.de, http://www.happy-spots.de, http://www.gewinnspiele.at,

Die 250.000 Addressen sind natürlich alles andere als ein qualifiziertes Zielpublikum. Wie verhindert Ihr diese vielen automatisierten Einträge? Wie machen die das technisch - würde ein visuelles Captcha die automatisierten Einträge verhindern? Man lernt ja nie aus!

Danke vorab!
Heinz-Günter Weber



Share this post


Link to post
Share on other sites
Wie hast du denn die Rechenaufgabe programmiert? Ist die dynamisch oder statisch? Klingt nach einer interessanten Idee smile.gif

Wirkungsvoller ist aber wohl trotzdem immernoch das gute alte Capcha.
Wichtig ist, dass du so viel wie möglich überprüfst (Syntax der Mailadresse etc.).

Share this post


Link to post
Share on other sites
Captchas helfen nix, wenn die 'ausgeliehen' und bsp. auf einer Sexseite von Interessierten beantwortet werden.

Sieh dir an, was die Bots genau schicken.

Ich hatte vor längerer Zeit diese Beobachtungen gepostet, die eigentlich immer noch gelten. Auf server-daten spielt das weiterhin keine Rolle, obwohl es regelmäßig Versuche gibt.

1. Simpler Versuch (statische Lösung): Ergänze ein Hidden-Feld, belege das mit irgendeinem Wert, prüfe diesen ab.

2. Wenn das nicht reicht, belege das Feld bsp. mit einem Timestamp-Wert, prüfe, ob der zurückgesandte Wert auch wieder als Timestamp konvertierbar ist und ob er nicht zu alt ist (< 1 Minuten).

3. Bei server-daten beruht die Logik (unabhängig von Spambots) darauf, daß eine Seite mehrere Formulare und jedes Formular mehrere Buttons enthalten kann. Beim Klick wird per JavaScript ein Hidden-Feld mit dem Namen des Buttons belegt, das Hidden-Feld war davor leer. Nur wenn einer dieser Namen, die ansonsten bloß im Aufruf der JavaScript-Funktion vorkommen, in diesem Feld zurückgeschickt werden, wird überhaupt etwas gemacht.

Die Logik läßt sich durchaus 'klauen' und zur Reduktion solcher Dinge verwenden. tongue.gif

Share this post


Link to post
Share on other sites
Und als kleine Ergänzungen solltest du natürlich auch an die IP-Sperre und Emailblacklist denken. Eintragsdienste verwenden meist eigene Emailadressen und diese lassen sich ja ganz bequem blockieren.

Share this post


Link to post
Share on other sites
Guest hgw
Danke für die bisherigen Vorschläge! Wir haben das neue Gewinnspiel mit einem Captcha ausgestattet.

Blacklists mit IP/Server-Adressen von Gewinnspiel-Eintragsdiensten habe ich bislang noch keine entdeckt, habt Ihr da Tipps dazu?

Danke auf jeden Fall!

Heinz-Günter Weber

Share this post


Link to post
Share on other sites
Grade zur Antwort von Jürgen würde mich interessieren ob noch jemand aktuelle Zahelen dazu hat wie viele Surfer JS deaktiviert haben.

Ansonsten sind hier ein paar nette Gedankenansätze dabei.

Share this post


Link to post
Share on other sites
Guest hgw
Hallo TSc,

wir haben aktuell über etracker ermittelt 1,18% Nutzer, bei denen JavaScript nicht möglich war. Bezieht sich auf den Auftritt www.china-reisen.de und dessen Schwesterseiten. Cookies haben 2,88% nicht akzeptiert. Basis dazu sind ca. 10.000 Besucher.

Bei den Vorschlägen von Jürgen würde ich zunächst eher denken, dass die zwar gegen simpleres Roboter-Spamming helfen, aber nicht gegen automatisierte Forrmulareinträge der Gewinnspiel-Eintragsdienste. Die Formularverarbeitung ist in unserem Fall in ein anderes Dokument ausgelagert, man hätte evt. noch prüfen sollen, ob dies von der Gewinnspiel-Seite aus aufgerufen wurde oder nicht (es wurde nur die Domain überprüft, müsste aber auch gereicht haben...).

Der Vorschlag mit dem JavaScript-aktivierten hidden-Wert ist mir schon einleuchtender. Aber ich halte diese Eintragsdienste fast für so schlau, auch mit JavScript umgehern zu können. Die müssen nur den hidden-Wert herausfinden und rufen ab dann die Verarbeitungsseite mit diesem Parameter auf (Bin aber nicht der Server-Experte).

Das Captcha erfüllt zur Zeit offenbar seinen Zweck, oder die Eintragsdienste haben die Seite noch nicht entdeckt ...

Nachtrag 13.1.2008: Zwei Wochen hat es mit dem Captcha gehalten, dann brau cer Damm ... Captcha auf ransom(0,99999) umgestellt jetzt bremst es die bots wieder aus ...

Share this post


Link to post
Share on other sites
Guest beinhart
Automatisierte Einträge abfangen?

In meinem Gewinnspiel

http://www.verkaufsgrafiken.de/gewinnspiel/

trage ich die Gewinnspiel-Teilnehmer direkt in einen Autoresponder ein.

Den Eintrag muss der Teilnehmer dann mit einem Freischaltlink in seiner EMail bestätigen.

Was haltet Ihr von dieser Lösung?

Grüsse
b.

Share this post


Link to post
Share on other sites
Garnichts.
Autmatisiert ein Mailfach auslesen und Links zu öffnen ist eine der kleinsten Übungen.


Danke für die Zahlen, hgw.

Share this post


Link to post
Share on other sites
QUOTE (TSc @ Di 9.09.2008, 19:44)
Autmatisiert ein Mailfach auslesen und Links zu öffnen ist eine der kleinsten Übungen.

Und deshalb verschicke ich nicht solche Mails.

Sprich: Enthalten Bestätigungsmails keinen Link, auf den man klicken muß, sondern eine andere Lösung, scheitern die Spambots daran.

Etwa folgendes:

QUOTE
Kopieren Sie den folgenden Schlüssel

AF7F20A8-0914-4180-AD6E-DF32B17F910E

in das Feld ...


Damit gibt es keinen verfolgbaren Link mehr.

Share this post


Link to post
Share on other sites
Meine Antwort bezog sich auch nicht auf dich sodern auf Beinhard.

Der zu kopierende Code ist eine nette Idee, kann aber natürlich auch relativ leicht automatisiert werden wenn die Botbetreiber sich die Mail einmal ansehen.
Sprich: Textposition auszählen, Code lesen, Code automatisiert übertragen.

Das könnte man ausbremsen wenn man die Mail aus zufällig ausgewählten Textbausteinen zusammensetzt so das sich Position und umgebende Wörter des Codes ständig ändern.

Share this post


Link to post
Share on other sites
QUOTE (TSc @ Di 9.09.2008, 20:26)
Meine Antwort bezog sich auch nicht auf dich sodern auf Beinhard.

Das hatte ich schon verstanden.

Mir war bloß irgendwann einmal aufgefallen, daß ich diese Methode - keine anklickbaren Links zu verschicken - noch gar nicht erwähnt hatte.

Es gibt inzwischen auch 'rotierende Bots', die bei mir zunächst durchkommen. Die müssen das mit irgendeiner Rotation der gefundenen Feldwerte versuchen.

Allerdings lassen die sich über die oben skizzierte simple Zeitsperre abblocken. Es müssen mindestens 5 Sekunden zwischen Aufruf und Absenden des Formulars liegen.

Ich habe ein 'Testformular' (heißt 'kontaktformular.html', liegt auf beispiel), da habe ich die Sperre nicht drin. Da kommen immer wieder Spameinträge rein. Mein tatsächliches Kontaktformular hat diese Sperre - und ist spamfrei, ohne Captcha.

Share this post


Link to post
Share on other sites
Ich habe selbst schon mal so einen Gewinnspiel-Bot (im Auftrag) erstellt.
Seriöse Gewinnspiel-Agenturen reicht eigentlich ein Hinweis, dass automatische Eintragungen nicht erwünscht sind.
Davon mal abgesehen, sind diese Gewinnspiel-Bots nicht so 'kriminell veranlagt', daß sie auf biegen und brechen an jedem Gewinnspiel teilnehmen müssen, wie z.B. solche Bots die Werbung in Foren posten. Das sollte mal in diesem Thread nicht verwechseln.
Und wenn doch mal ein schwarzes Schaaf unter den Gewinnspiel-Bots drunter sein sollte, dann schau mal in die Datenbank und vergleiche die IPs mit dem Timestamp. Wenn du dort massiv Doubletten vorfindest, ist es ein Bot gewesen. Diese kannste dann ruhigens Gewissens löschen.
Ok, die IP kann man fälschen. Aber wie gesagt, die Gewinnspiel-Agenturen haben es einfach nicht nötig, da es genug andere Gewinnspiele gibt....

Gruß
Peter

Share this post


Link to post
Share on other sites
Ich denke der Thread hat sich mittlerweile auch eher auf allgemeine Bot-Blocker ausgeweitet, daher nicht krumm nehmen. wink.gif

Share this post


Link to post
Share on other sites
QUOTE

Ich habe ein 'Testformular' (heißt 'kontaktformular.html', liegt auf beispiel), da habe ich die Sperre nicht drin. Da kommen immer wieder Spameinträge rein. Mein tatsächliches Kontaktformular hat diese Sperre - und ist spamfrei, ohne Captcha.

Taug aber NIX sobald deine Seite irgendwie den Anreiz hat gehackt zu werden... Dass mal die Standard-Bots nicht direkt durchkommen ist ja schön und gut, aber in 15 Minuten ist so etwas umgangen ...

Und sobald sich solche Tipps verbreiten werden auch die Standards-Bots nachziehen und schlussendlich muss doch jeder Captchas installieren der sicher sein will...

Share this post


Link to post
Share on other sites
QUOTE (Joel @ Di 9.09.2008, 21:36)

Und sobald sich solche Tipps verbreiten werden auch die Standards-Bots nachziehen und schlussendlich muss doch jeder Captchas installieren der sicher sein will...

Nur das Captchas auch nicht viel bringen.

Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.
So what...

Share this post


Link to post
Share on other sites
QUOTE

Nur das Captchas auch nicht viel bringen.

Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.
So what...

Stimmt einfach nicht, solange genug zufällige Parameter in einem Captcha sind, sind sie auch nicht zu lösen! - Es gibt "gute" und schlechte Captchas...

z.B. die Captchas von Google sind mit dem heutigen Stand der Technik gar nicht zu lösen...und es gibt genug "Hacker" die das versuchen und einen grossen Aufwand betreiben.... Klar könnte es sein, dass sie mit monatelanger Arbeit das Captcha von Google irgendwie lösen könnten .. nur dann passt man 2-3 parameter an, verändert die schrift, den verzerrungsalogrhytmus, etc.

--

Websites mit obigen Tipps hackt man in 10 Minuten ... gute Captchas in mehreren Jahren und das ist ein wesentlicher Unterschied..

Share this post


Link to post
Share on other sites
Du willst das C also so verzerren das es der User der es für ein paar Cent in Indien manuell löst nicht mehr erkennen kann?

Guuute Idee... biggrin.gif

Share this post


Link to post
Share on other sites
QUOTE

Du willst das C also so verzerren das es der User der es für ein paar Cent in Indien manuell löst nicht mehr erkennen kann?

Guuute Idee...


Es geht in diesem Thread darum automatische Einträge zu verhindern und es geht nicht darum zu verhindern dass ein Benutzer mehrere Einträge macht... Dafür gibt es andere Methoden (z.B. SMS-Verifizierung, Post-Verifizierung wie es z.B. Ricardo macht)...


QUOTE

Gibt mittlerweile Firmen mit dem Angebot 1000Cs für 2 Dollar zu lösen.


Aber da hast du recht, wenn diese Preise stimmen.

Ein Captcha allein ist auch nicht die Lösung aller Probleme, wenn du z.B. eine IP-Sperre machst brächten sie zusätzlich noch ein Botnetz um 1000 Einträge zu machen....

-->> OK und man muss auch immer abwägen was für ein Security-Level man will und wie hoch man die Hürden stellen muss um nicht zu viele Benutzer zu verlieren.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this