Captcha gegen Formular-Spam

Nicht neu, aber immer wieder aktuell: Bots finden ungeschützte Formulare und erzeugen darüber Spam. Ärgerlich wird es spätestens dann, wenn das Double-Opt-In diesen Spam an Dritte schickt.

So geschehen in einem Shop: hier wurde das „Double-Opt-In“ – Verfahren bei der Nutzerkonten-Erstellung bewusst ausgenutzt, um Phishing-Mails zu verbreiten. Als Absender (und damit auch als Provider) erscheint dann die renommierte Adresse des Shopbetreibers beim Empfänger, als ob dieser sich dort regulär angemeldet hätte.

Der Bot füllte das Registrierungsformular wie folgt aus:
Feld Vorname: „Guten Tag! Ihr Name wurde in der Verlosung gezogen.“
Feld Nachname: „Um den Gewinn auszuzahlen, melden Sie sich unter folgendem Link an. Vielen Dank!“.
Feld Email: [eine beliebige, zuvor aus diversen Datenquellen gewonnene Email-Adresse]

Durch ein fehlendes Captcha konnte die Anfrage automatisiert versendet werden und erreichte so einige hundert Empfänger im Namen des Shopbetreibers. Da die Bots meist nur wenige Formularabsendungen pro Stunde über diesen Weg generieren, fällt es in der Regel erst nach einigen Wochen auf.

CAPTCHA schaffen Sicherheit

Eigentlich jeder hat sich bereits einmal irgendwo registriert und ein CAPTCHA ausgefüllt. Ab kaum einer weiß: Was ist ein CAPTCHA? Worum handelt es sich bei einem CAPTCHA? Welche Vorteile und welchen Schutz bietet ein CAPTCHA?

Was sind CAPTCHA’s?

CAPTCHA ist die englische Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Auf Deutsch bedeutet dieses: Ein CAPTCHA ist ein Mechanismus, der Menschen von Computern unterscheidet. Es prüft, ob beispielsweise ein Formular von einem Menschen oder einem Computer ausgefüllt wurde. Neben dem gewünschten ausfüllen von Kunden / Interessenten, können auch sogenannte „Bots“ eingesetzt werden, um z.B. Anmeldungs-/Registrierungsformulare missbräuchlich automatisch auszufüllen.

Welche Typen von CAPTCHAs gibt es?

Captchas sind für den Menschen einfach zu lösen / einzutragen, aber für Computer ist dieses in der Regel unmöglich. Dabei werden beispielsweise Buchstaben und Zahlen derart verzerrt dargestellt, sodass Menschen diese auslesen können, Bots aber nicht.

Es gibt verschiedene Typen:

Text-CAPTCHA:

In diesem Fall werden Buchstaben (Groß- und Kleinschreibung) und Zahlen auf einem verzerrten Hintergrund dargestellt. Für den Menschen sind diese Kombinationen in den meisten Fällen gut lesbar. Ein Computer / Bot kann in diesem Fall nur über umfangreiche Mustererkennung und entsprechende Hardware zur richtigen Lösung kommen.

Grafische-CAPCTHA:

Bestimmte grafische Symbole oder ausgewählte Bilder müssen bei diesem Captcha-Typ identifiziert und angeklickt werden, um eine „menschliche Intelligenz“ nachzuweisen.

Audio-CAPCTHA:

Insbesondere für Personen mit Sehschwäche können auch Audio-Captchas eingesetzt werden. Dabei muss ein Ton erkannt und entsprechend in ein Formular eingetragen werden.

Video-CAPCTHA:

Bei einem Video-Captcha wird ein Film abgespielt und der Zuschauer muss beispielsweise alle roten Buchstaben erkennen oder das Video kurz erklären.

Wichtig bei der Auswahl des richtigen Captchas ist es, die Barrierefreiheit zu beachten, sodass alle Besucher in der Lage sind, das Captcha richtig eingeben zu können.

Wozu sind sie da?

Captchas sind für den Nutzer / Besucher oft störend und zeitraubend, auch wenn es sich nur um Sekunden handelt. Nichts desto trotz, sind sie für den Schutz der Webseite / des Webshops unverzichtbar. Sie schützen den Betreiber der Seite vor Missbrauch und Manipulation. Bei kostenlosen Providern zum Beispiel verhindern sie, dass massenhaft E-Mail-Adressen generiert und für Spaming-Zwecke verwendet werden. Dadurch tragen Captchas vielfältig zur IT-Sicherheit des gesamten Systems bei.

Haben Captchas Nachteile?

Insbesondere schlecht lesbare oder ungenaue Captchas sind für den Anwender ein Greul. Da die Technik und die künstliche Intelligenz immer besser werden, müssen die Captchas auch immer komplexer werden. Dadurch kann das Ausfüllen eines Captchas schwieriger, aufwändiger und zeitraubender werden. Außerdem sehen viele Verwender die Sinnhaftigkeit der Funktion nicht und brechen den Vorgang ab. Dieses stellt für den Betreiber der Seite einen Conversionverlust dar.

Gibt es Alternativen?

Eine richtige Alternative zum Captcha gibt es momentan nicht. Es bestehen zwar, je nach Einsatzgebiet, viele Filter und andere Anti-Spam-Softwaren, allerdings bieten diese nicht die gewünschte Sicherheit, die ein Captcha bietet.