Diskussion über vermehrtes Spamaufkommen im Forum

[Weyoun]

Stimmt, die die SW-Algorithmen sind heutzutage verdammt ausgefuchst. Selbst die Bild-Captchas können heute schon verdammt gut maschinell gelöst werden.
Bleibt also nur die Zwei-Faktor-Authentifizierung. Aber dann hätte der Moderator deine Handy-Nummer. Oder gibt es noch andere wirksame Methoden?

Mir fällt das spontan nur die digitale Signatur des Personalausweises ein, aber ein Großteil der Bevölkerung nutzt sie nicht bzw. hat gar kein passendes Lesegerät. Zudem wäre der Aufwand für das Forum vermutlich auch jenseits von gut und böse.

PS:
Was eventuell helfen könnte: Eine Mail zur Bestätigung, in der aber kein stupider Link zum Anklicken und Freischalten steckt, sondern eine Art (regelmäßig wechselnde) Freischaltungs-Anleitung als Prosa, wie weiter zu verfahren ist. Hier könnten den Bots ggf. die Zähne gezogen werden.

[Wete]

In einem anderen Forum hat der Admin die Mindestzeit zwischen Aufruf und Absenden des Account-Anlegen-Formulars hochgesetzt. Ein paar Stunden später hatte sich die Bot-Software daran angepasst.
Da hilft nur, Beiträge von neuen Usern zunächst nicht automatisch freizuschalten sondern erst nach Sichtung eines Mod. Denn ein Spam-Bot wird sicher nicht zuerst ein paar "sinnvolle" Postings raushauen. Das machen die menschlichen Spammer, aber auch die identifiziert man echt schnell (uralter Thread, auf einmal eine neue Antwort "Danke für die hilfreichen Tipps!" ...).

Wete

[Weyoun]

Beiträge von neuen Usern temporär beobachten und manuell freischalten bedeutet ja aber, dass sich erst einmal jeder registrieren kann. Könnte man hier nicht (wie ich weiter oben beschrieb) bereits beim Anlegen des Accounts eingreifen?

[OL-DIE]

Hallo,

beruflich benötige ich ebenfalls die Zwei-Faktor-Authentifizierung. Umgesetzt ist das über die App "Free OTP". Hier wird eine zeitlich begrenzt gültige Transaktionsnummer generiert. Hierzu ist kein Internetzugang erforderlich. Das macht die Nutzung des Forums natürlich umständlicher, aber sicherer.

Siehe hier: Klick

Beste Grüße
OL-DIE

[Wete]

Klar, Du kannst einem neuen Account erst einmal die Schreibrechte verweigern. Das heißt, ein Mod muss alle neuen Accounts durchsehen und manuell die Schreibrechte freischalten. Jetzt kommt aber der problematische Punkt: Woran willst Du erkennen, ob ein Account ein Spam-Account sein wird oder nicht? An einer kryptischen Mailadresse? An einem seltsamen Benutzernamen? Das wird nicht zuverlässig sein.

Man kann aber bei der Neuanmeldung einblenden, dass Postings eines neuen Accounts grundsätzlich manuell freigeschaltet werden müssen. Dann wird sich der ein oder andere Neue vielleicht ärgern, dass seine unglaublich wichtige und dringende Frage nicht sofort gelesen wird, aber man wird so mit Sicherheit alle Spam-Bot-Postings filtern (denn wie gesagt: Spam-Bots werden nicht zuerst sinnvolle Postings schreiben, und selbst wenn es "unauffällige" sind - wie oben beschrieben - bekommt ein guter Mod da sofort ein Näschen dafür).

Aber man bräuchte dafür halt schon mehrere Mods, die dafür sorgen, dass neue Postings nicht tagelang in der Freischalte-Pipeline stecken. Ein paar Stunden sind zumutbar, aber mehr meiner Meinung nach nicht.

Wete

[Wete]

Bei dem anderen Forum, wo ich selbst Mod bin, und das auf vBulletin läuft, ist ein Spam-Erkenn-Mechanismus aktiv. Greift dieser, wird ein neuer Beitrag automatisch auf "nicht freigeschaltet" gesetzt und ist nur für uns Mods sichtbar. Beiträge, bei denen der Mechanismus nicht greift, erscheinen sofort. Das ist nicht 100% zuverlässig, erleichtert aber die Arbeit.

[Weyoun]

@Wete
Du hast jetzt mehrfach erklärt, was passiert, wenn der neue Account bereits angelegt (also "da") ist und dieser Postings verfassen will, aber auf meine Fragen, ob man es (mit welchen Methoden auch immer) nicht bereits beim Erstellen des Accounts hinreichend sicher machen kann, dass Bots keine (oder eine kleinere) Chance haben, bist du leider nicht eingegangen. Gibt das die Forensoftware nicht her?

[Wete]

Naja, wie angedeutet: Die "Spam-Software" agiert genau wie ein Mensch, der am Rechner sitzt und passt sich jeglichen Änderungen (Umbenennung der URLs usw.) in minimaler Zeit an, da wird es schwierig bis meiner Meinung nach unmöglich, Bots von echten Usern zuverlässig zu unterscheiden. Das Anlegen eines Spam-Accounts ist ja auch gar nicht schlimm (der ist schnell gesperrt/gelöscht), die Postings sind das Problem. Aber nur anhand dieser kannst Du sicher sagen, was ein Spam-Account ist. Natürlich versucht man, es der Bot-Software schwieriger zu machen, aber der Erfolg ist bescheiden (sprach der Igel "Ich bin schon da"). Die negativen Begleiterscheinungen für echte User dürften schlimmer sein, wenn man die Registrierung maximal verkompliziert. Ich halte mehr von Eingriffen bei den Postings.

Wete

[Weyoun]

Worauf ich halt hinaus wollte: Kann der Spam-Bot gängige Zwei-Faktor-Authentifizierungen mittels wie auch immer gearteten Methoden umgehen oder nicht? Wenn nicht, würde der Account ja nie endgültig freigeschaltet und man müsste gar nicht mehr manuell eingreifen.

[Wete]

Keine Ahnung, ob er das kann, die gibt es meines Wissens bei Foren ja noch nicht. Wenn es technisch aushebelbar ist, kannst Du sicher sein, dass es in wenigen Tagen implementiert ist.
Allerdings ist das mit Kanonen auf Spatzen schießen. Wie gesagt: Ein Spam-Account (oder auch hunderte) sind dem Forum (der Software) völlig wumpe, die Spam-Postings sind das Problem, und dort setzt man an. Natürlich wäre es fein, wenn es der Spam-Software unmöglich wäre, Accounts anzulegen, aber das wird nicht sinnvoll machbar sein (die Gründe habe ich dargelegt). Zwei-Faktoren-Authentifizierung bedeuten für den Betreiber höchstwahrscheinlich Kosten (zumindest mal ein Telefonie-/SMS-Interface), von daher sehe ich darin wenig Sinn. Und es würde wohl auch neue echte User abschrecken. "Ich hab ne Frage zu Lautsprechern. Wie, die wollen meine Handynummer? Dann halt nicht!"