Laat spam jouw klantdata niet verpesten

Door Marco Vogelaar, back-end developer - @26121979
9 augustus 2018 - 556 x bekeken - Categorie├źn: Tech, Kennis

Spam is een grote ergernis voor bedrijven, als het gaat om het verzamelen van relevante klantdata. Je hebt verschillende contactformulieren op jouw website ingericht om klanten van informatie te voorzien. Helaas vullen spambots deze formulieren ook in, waardoor jouw klantdata niet meer bruikbaar is. De vraag is; hoe pak je dit probleem aan? Hoe vang je dit zo veel mogelijk af? In dit artikel lees je welke middelen er bestaan om dit probleem op te lossen.

Veelvuldig spam ontvangen vanuit jouw eigen website, betekent vaak dat er één of meerdere contactformulieren worden aangeboden, die niet goed zijn ingericht en daardoor vatbaar  zijn voor spam. Beter beveiligen is dé oplossing, maar in welke gradatie? En hoe?

#1 - Honeypot

Op jouw website staat een contactformulier, waarin staat dat de bezoeker zijn of haar naam, telefoonnummer en e-mailadres kan invullen. Heel simpel, de lezer vult de drie stappen in. Maar wat jij niet in de gaten hebt, is dat spambots dit helaas ook gemakkelijk kunnen. In dit geval biedt een Honeypot uitkomst. Door middel van een Honeypot wordt er namelijk een verborgen veld toegevoegd aan het contactformulier. Echte bezoekers zien dit veld niet staan en laten het leeg. Spambots daarentegen ‘zien’ dit veld wel en vullen deze in. Et voilà… op het moment dat dit gebeurt, is het bevestigd dat het om spam gaat en wordt de verdere verwerking afgebroken.

#2 - CSRF Token

Een andere manier van spamberichten versturen, is nep-aanvragen triggeren op het contactformulier. Bij deze wijze nemen hackers bepaalde informatie in URL’s op, zodat het lijkt alsof het contactformulier verzonden moet worden. De honeypot is daar helaas niet tegen bestand, dus moet er zwaarder geschut aan te pas komen. Een veiligheidsmaatregel dat daar wel tegen opgewassen is, is de CSRF Token.

Een token, ook wel een geheime sleutel genoemd, wordt meegegeven met het formulier op het moment dat het contactformulier wordt verzonden. Net als met een wachtwoord is een token lastig te omzeilen. Alleen de server, waar de aanvraag heen gaat, kent deze geheime sleutel. Op het moment dat er een aanvraag binnenkomt, kan de server kijken of het token correct is. Is het token incorrect of is er sowieso geen token meegestuurd? Dan wordt de verzending van het contactformulier geblokkeerd, en daarmee wordt een grote hoeveelheid spam in jouw inbox voorkomen!

#3 - CAPTCHA & reCAPTCHA

Een andere mogelijkheid om een contactformulier te beveiligen is het toevoegen van een reCAPTCHA aan het formulier. Om hackers en bots te slim af te zijn, is ooit de CAPTCHA bedacht. Om ervoor te zorgen dat alleen echte gebruikers het formulier invullen, wordt er een afbeelding van een ingewikkeld stukje tekst getoond. Bij de afbeelding wordt er gevraagd om de tekst juist over te nemen. De gedachte hierachter was dat spamrobots een CAPTCHA-opgave niet konden uitlezen en uitvoeren. Hierdoor was het formulier beschermd tegen spam. Er was alleen één nadeel aan deze oplossing: de échte gebruikers vonden de CAPTCHA-opgave veel te lastig, waardoor de formulieren ook niet verstuurd konden worden.  

 

Om dit probleem op te lossen heeft Google in 2015 een nieuwe versie uitgebracht; de reCAPTCHA. Dat betekende (gelukkig!) geen onleesbare cijfers of letters meer. Maar alleen het zetten van een ‘ik-ben-geen-robot-vinkje’ of het uitvoeren van een opdracht met afbeeldingen, was voldoende om de test te doorstaan. Buiten dat deze reCAPTCHA minder foutgevoelig is, is ook de uitvoer easy. Het voordeel van deze vernieuwde versie is dat het ook voor mobiele apparaten goed werkt.  



#4 - Invisible reCAPTCHA

Google heeft duidelijk niet stil gezeten en bracht in 2017 de invisible reCAPTCHA uit. Deze versie is exact hetzelfde als de reCAPTCHA alleen wordt er géén checkbox getoond. Om precies te zijn: de gebruiker ziet de reCAPTCHA helemaal niet.

Op het moment dat het formulier van de gebruiker wordt verzonden, evalueert de invisible reCAPTCHA de handelingen van de gebruiker. Wat dat precies betekent? Achter de schermen wordt er gekeken of dit overeenkomt met acties van een spam-bot. Als jij als gebruiker, het formulier heel snel invult met niet relevante informatie, dan kan de reCAPTCHA jou aanzien voor een robot. Bij twijfel wordt de reCAPTCHA met de plaatjesopdracht aan de gebruiker getoond. Op deze manier wordt er geverifieerd  of er sprake is van een spam-bot.




Op zoek naar een beveiligingsmaatregel voor jouw website?

Vraag jij je af welke beveiligingsmaatregel geschikt is voor de bedrijfswebsite? Wij brengen de formulieren in kaart en onderzoeken welke beveiligingsmaatregelen eventueel geïmplementeerd zijn. Op basis van dit onderzoek kunnen wij een voorstel doen en advies uitbrengen. Wil je graag aanvullende informatie? Dat kan natuurlijk ook! Neem dus gerust contact met ons op! 

Voorkomen is beter dan genezen; weg met spam!

Door Marco Vogelaar

Hoe zorg je dat jouw e-mailberichten niet bij ontvangers in de spamfolder blijven hangen? Lees onze tips!

Lees verder