Konversations-Spam Reloaded

    Affected Version
    WoltLab Suite 5.2

    In eurem Update: WoltLab Suite 5.2.5 / 3.1.13 / 3.0.24 geht ihr auf einen ausgefeilten Bot ein.

    Seit zwei Wochen scheint er sein Verhalten geändert zu haben.

    Quote from Alexander Ebert

    Wir sind in den vergangenen Tagen auf einen ausgefeilten Bot aufmerksam geworden, der gezielt auf das Konversations-System ausgerichtet ist, um diesen für Spam-Nachrichten zu missbrauchen. Der Bot arbeitet dabei in zwei Phasen um seine Effizienz zu erhöhen, im ersten Schritt wird die Mitgliederliste ausgelesen, um eine vollständige Liste der Benutzernamen zu erhalten. Anschließend werden in der zweiten Phase die zuvor abgegriffenen Benutzernamen verwendet, um jede einzelnen per Konversation mit der Werbebotschaft anzuschreiben. Darüber hinaus wurde der Bot so gestaltet, dass nach dem Versand die Konversation sofort verlassen wird, um das Limit der aktiven Konversationen zu umgehen.

    Der Bot arbeitet nicht (mehr) mit der Mitgliederliste sondern macht sich vermutlich schlicht die Profil-URLs zu Nutzen. Bei den Links kann man nämlich ganz im Stile von Cold-Calls die Nummern austauschen und wird immer zum richtigen Profil weitergeleitet.

    Quote from Alexander Ebert

    Wir sind in den vergangenen Tagen auf einen ausgefeilten Bot aufmerksam geworden, der gezielt auf das Konversations-System ausgerichtet ist, um diesen für Spam-Nachrichten zu missbrauchen. Der Bot arbeitet dabei in zwei Phasen um seine Effizienz zu erhöhen, im ersten Schritt wird die Mitgliederliste ausgelesen, um eine vollständige Liste der Benutzernamen zu erhalten. Anschließend werden in der zweiten Phase die zuvor abgegriffenen Benutzernamen verwendet, um jede einzelnen per Konversation mit der Werbebotschaft anzuschreiben. Darüber hinaus wurde der Bot so gestaltet, dass nach dem Versand die Konversation sofort verlassen wird, um das Limit der aktiven Konversationen zu umgehen.

    Diese Neuregelung wird (inzwischen) umgangen, indem im großen Stil neue Accounts angelegt werden, die jeweils 10 Nachrichten verschicken.

    Ein effektiver Schutz dürfte tatsächlich nur sein, die Profil-URLs ins Leere laufen zu lassen, wenn UserID und Nutzername nicht übereinstimmen.

    Edited 3 times, last by less (September 8, 2020 at 12:25 AM).

    https://shop.softcreatr.com/product/107-fl…konversationen/

    Damit könnte man neue Accounts dazu zwingen, für jede Konversation einen neuen Account zu erstellen :D

    Bei uns beispielsweise steht das Konversationssystem sowieso nur unter speziellen Bedingungen zur Verfügung. Entweder, du bist Kunde, oder du hast deinen Account mittels 2Fa abgesichert. Beides halte ich bei Bots für unwahrscheinlich, weshalb mir diese Restriktion bisher durchaus gute Dienste geleistet hat.

    Ansonsten kann man sich hier bestimmt auch die Benutzergruppen-Bewerbung zu Nutze machen und den Mitgliedern die Möglichkeit geben, sich auf eine Gruppenmitgliedschaft zu bewerben, die Konversationen versenden darf.

    Dass man mit so einer Regelung nicht unbedingt immer die Richtigen trifft, dürfte allerdings klar sein, ja? Ich wüsste jetzt beim besten Willen nicht, was dagegen spricht, dass ich auf Deiner Seite die Konversationen nutzen darf.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

    Quote from norse

    Ich wüsste jetzt beim besten Willen nicht, was dagegen spricht, dass ich auf Deiner Seite die Konversationen nutzen darf.

    Was dagegen spricht es zu benutzen: Du bist kein Kunde und hast kein 2FA aktiviert^^
    Wenn man sonst was von Softi will eröffnet man ein Ticket und/oder schreibt eine Mail

    Das Konversationssystem ist eine von mir als Betreiber bereitgestellte Zusatzfunktion auf welche du als Nutzer absolut 0 Anspruch hast. Wenn ich diese Funktion bereitstelle, dann zu meinen Bedingungen. Selbst wenn ich die Funktion so einschränke, dass sie nur von Benutzern verwendet werden kann, deren Benutzername mit Q anfängt...

    Und wenn du dich weigerst, die Zwei-Faktor-Authentisierung zu aktivieren, ist das nicht mein Problem. Aber darum soll es hier in dem Thema auch überhaupt nicht gehen. Ich habe mir bei den Restriktionen schon etwas gedacht und oben erklärt, welchen Sinn sie haben.

    Bei mir können "frische" Benutzer nur auf Konversationen antworten. Bis sie selbst Konversationen erstellen können, müssen sie eine gewisse Aktivität zeigen, so dass sie automatisch in die nächste Benutzergruppe wandern. Damit haben sie die Probezeit bestanden und dürfen dann u.a. auch selbst Konversationen beginnen.

    Damit fahre ich bisher nicht schlecht. :thumbup:

    Habe ich überall ganz ähnlich gelöst, ja. Das ist noch mit der einfachste Weg.

    Eine gewisse "Aktivität" des neuen Benutzers sollte vorhanden sein, damit auch schon einer erster Bekanntheitsgrad.

    Das ist über automatische Benutzergruppen-Beförderungen ja auch überhaupt kein Problem.

    I.d.R. merkt man ja relativ schnell, ob man es mit einem seriösen Menschen zu tun hat und ob es ihm wirklich um das Foren-Thema geht, oder eher "neutrale" Antworten wie "Schön, gefällt mir" oder ähnliches kommt.

    Ich habe fast überall ein mehrstufiges Beförderungssystem eingeführt und über die Jahre sind wird damit in diversen Foren eigentlich sehr gut gefahren.

    Dazu gehört auch, dass man die PNs / "Konversationen" nicht gleich am Anfang nach Registrierung benutzen kann. Gerade auch aus den Gründen dieses Thread-Titels, aber auch um allgemeine Belästigung anderer User zu vermeiden.

    Dinge/Fragen rund um den Account können ab der 1. Minute mit den Admins geklärt werden, PN-Rechte ud ähnliches gibt es aber nach und nach und ggf. auch in steigendem Umfang (Speicherplatz etc.).

    Gruß

    Jörg

    (Jaydee)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login