Neue Technik macht Formular-Spam den Garaus

19.05.2009
Von Katharina Friedmann
Unerwünschte elektronische Post ist nicht nur für E-Mail-Nutzer ein Problem, sondern auch für Unternehmen, die Websites mit Feedback-Formularen betreiben.

Das Problem: Automatisierte Bots durchforsten das Internet nach Formularen, um sie mit unsinnigen Einträgen auszufüllen. Formulardaten gehen häufig zunächst an die E-Mail-Adressen der Website-Mitarbeiter, um später sortiert zu werden. Darüber hinaus pflegen viele Unternehmen ihre Marketing-Leads über Formulare direkt in Datenbanken ein. Die falsch ausgefüllten Formulare führen also dazu, dass Firmendatenbanken mit Viagra-Angeboten statt mit Angaben zu potenziellen Kunden gefüllt werden.

Abwehrservice

Die in Dallas ansässige Vier-Mann-Firma Form Armor hat einen gleichnamigen Web-Service entwickelt, der speziell Web-Formular-Spam blocken soll. Nach Angaben von Larissa Reynolds, die das Unternehmen zusammen mit ihrem Mann gegründet hat, ähnelt der Dienst einem Bezahl-Gateway. Sobald eine Web-Seite für die Nutzung des Dienstes konfiguriert ist, werden Formulardaten verschlüsselt und zur Echtzeitanalyse an Form Armor geschickt, wo sie als "good" oder – für den Fall, dass die Eingabe eine Form von Malware oder SQL-Injection beinhaltet – als "bad" oder als "ugly" eingestuft werden. Unbedenkliche Formulardaten werden an den Kunden weitergeleitet, bösartige geblockt.

Eigenen Angaben zufolge hat Form Armor sieben Jahre daran gearbeitet, dass die Technik Formular-Spam eindeutig identifizieren konnte. "Wir sind Berge von Daten durchgegangen, um einen Algorithmus zu entwickeln, der zwischen Missbrauch und legitimen Inhalten unterscheiden kann", berichtet Reynolds. Für seinen Service erhebt Form Armor eine monatliche Gebühr von neun Dollar pro Website – unabhängig von der Zahl der Formulare. Für 29 Dollar pro Seite und Monat ist ein ausgefeilteres API (Application Programming Interface) zu haben, das mit PHP, ASP.net, ASP und bald auch DotNetNuke arbeitet. Die Schnittstelle soll Administratoren die Kontrolle über die Speicherung der Formulardaten ermöglichen – unabhängig davon, ob diese als gut oder schlecht erachtet werden. Das Gros ihrer Kunden lege allerdings keinen Wert darauf, die bösartigen Daten einzusehen, so Reynolds.

Alternative zu Captcha

Form Armor bietet seinen Dienst als Alternative zu dem betagten und zunehmend schwächelnden Website-Schutzmechanismus Captcha (Completely Automated Public Turing Test to Tell Computers and Humans Apart) an. Die verzerrten Zeichenketten sollen verhindern, dass Computer sich automatisch etwa für kostenlose E-Mail-Adressen registrieren oder Kommentare auf Sites posten können. Der Authentifizierungsmechanismus wird jedoch immer häufiger ausgehebelt. Darüber hinaus setzen Spammer mitunter auch Menschen ein, um Captchas aufzulösen. So berichtet die Form-Armor-Chefin von einem Fall, bei dem jemand, der offenbar eigens dazu angeheuert war, frustriert schrieb: "Warum, warum nur musste ich in dieses Land kommen, um das zu tun."

Wie Form Armor genau funktioniert, will Reynolds allerdings nicht preisgeben. Auch via Sites, die sich mit Form Armor schützen, lässt sich über die Funktionsweise der neuartigen Formular-Spam-Abwehr nichts herausfinden – das Processing findet auf Server-Seite statt, auch scheinen sämtliche Formulardaten normal verarbeitet zu werden, selbst wenn sie geblockt werden. Zwar wird die Technik derzeit ausschließlich für Formulardaten genutzt, sie ließe sich jedoch für den Einsatz auf kostenlosen E-Mail-Plattformen wie denen von Google oder Yahoo erweitern, meint Reynolds.

Verschwiegen

Auch über die Zahl der Unternehmen, deren Websites Form Armor bereits schützt, will die Chefin des Kleinunternehmens keine Auskunft geben. Ein Kunde, Urbanity Studios, Anbieter von personalisiertem Briefpapier, ist jedoch offenbar sehr zufrieden. Mit dem Traffic auf der eigenen Site habe auch Spam via Formulare drastisch zugenommen, berichtet Marketing-Direktor Micki Ahrens. Es sei so schlimm geworden, dass die Firma von dem E-Mail- und Web-Security-Appliance-Hersteller Barracuda Networks zeitweilig auf die Blacklist gesetzt wurde. Ein Problem, das Vergangenheit ist: Seit Urbanity Studios die Neun-Dollar-Variante des Form-Armor-Service nutze, seien nur noch vereinzelt Spam-Messages durchgekommen, so Ahrens. Auch False Positives seien anscheinend rar, da sich Urbanitys Kunden bei Problemen mit der Web-Seite in der Regel schnell über die kostenlose Telefonnummer des Unternehmens beschweren.