Honeypot Login + Formular | 8 Anti Spam Strategien für 2024

Was ist ein Honeypot im Formular?

Wie kann ich mich vor einer Spam-Flut schützen?

Dieser Guide gibt die alle Grundlagen.

Starten wir!

Was ist ein Honeypot?

Honeypot Falle für Formulare – Photo by Pixabay: https://www.pexels.com/photo/honey-on-white-bowl-33260/

Ein Honeypot (deutsch: Honigtopf) benutzten früher Jäger, um Bären (Gefahren) anzulocken und diese auszuschalten. Die digitale Welt bietet auch Gefahren (Kriminelle), die wir mit unseren digitalen Honigtöpfen stellen. Wir möchten nur die Kriminellen und keine Kunden anhand von Verhalten oder anderen Eigenschaften mit einem Honeypot aufspüren. Die Informatik kennt nicht den „einen Honigtopf“. Du kannst 10 Informatiker fragen und sie zeigen Dir 20 Honigtopf-Fallen.

Es gibt zwei Arten …

  1. Ein Anti-Spam-Honeypot, welcher Spam verhindern soll.
  2. Ein Hacking-Honeypot gibt vor ein Software-System zu sein, welches mit dem Default-Passwort geschützt ist. Für Kriminelle ist das ein einfaches Ziel. Ein solcher Honeypot eignet sich, um kriminelles Verhalten zu verstehen und um sich vorzubereiten.

Warum brauche ich ein Anti-Spam-Honeypot?

  • Selbstschutz: Du / das Unternehmen möchte nicht 1000-fach dieselben sinnlosen Spam-E-Mails lesen. Wir wollen aber auch nicht die eine E-Mail von einem Schlüsselkunden verpassen.
  • Schutz anderer: Formulare senden oft eine Bestätigungsemail an die angegebene Adresse. Kriminelle nutzen den Mechanismus aus, um andere E-Mail-Postfächer zu überfluten. Kriminelle können in der Zeit Accounts hacken und Passwörter ändern, während die wichtige Warnung an den Kunden in der Flut an E-Mails untergeht.
  • Phishing: Auch wenn die meisten Spam-E-Mails leicht erkennbar sind, gibt es auch super realistische, super gefährliche E-Mails von einigen Kriminellen. Ein Honeypot macht es den Kriminellen schwerer Dir eine Phishing Mail unterzujubeln.

TOP 6 Strategie gegen Spam

Wie schon angekündigt, gibt es nicht die EINE Strategie, um Spam zu verhindern. Das Ziel ist es kriminelles Verhalten zu erkennen:

#1 Syntax mit Regex prüfen

Die einfachste Methode ist die Prüfung der Inhalte.

  • Ist die E-Mails syntaktisch korrekt?
  • Sind alle Felder ausgefüllt?
  • Sind mindestens 10 Zeichen in der Beschreibung vorhanden?

Diese Formalien kann gut ein regulärer Ausdruck (Regex) prüfen. Mehr zu diesem Thema findest Du hier. Weicht die Syntax von der Vorstellung ab, markiert die Software die Nachricht als eine Spam-Nachricht.

#2 Leere versteckte Felder prüfen

Eine weitere beliebte Methode ist das Verstecken von Textfeldern. Eine echte Person sieht (in der Regel) nicht verdeckte Eingabefelder und vergisst diese auszufüllen.

Ein Roboter auf der anderen Seite detektiert die Eingabefelder sofort, weil dieser sich den Code und nicht die Oberfläche ansieht. Die Software filtert alle Nachrichten heraus, welche das verdeckte Textfeld gefüllt haben.

#3 Gefüllte Felder prüfen

Die vorherige Methode kannst Du auch umdrehen.

Befülle Felder mit einem Standardwert oder einen Wert, der bei der Erstellung der Seite generiert wird. Das Backend z. B. Laravel überprüft den Standardwert. Ist dieser geändert worden? Deiner Kreativität ist hier keiner Grenzen gesetzt (Obfuscation): Wir können Felder für Roboter umbenennen – E-Mail ist Betreff, Textfeld ist die Hausnummer. Hauptsache Du kommst nicht durcheinander und ordnest die Felder im Backend wieder richtig zusammen.

#4 Plausibilität prüfen

Spamfilter arbeiten häufig mit einer Stichwort-Analyse. Wenn z. B. 10 Mal das Wort Gold, Gewinn oder Rabatt vorkommt, dann ist die Anfrage nicht plausibel genug. Über Stichworte kannst Du die üblichen Verdächtigen per einfacher Regel oder mit einem neuronalen Netz oder einer Support Vector Machine herausfiltern.

Genauso ist eine Anfrage unplausibel, wenn eine russische Anfrage über ein deutsches Formular eintrifft – Woher soll der Russe wissen, was „Absenden“ oder „Abbrechen“ heißt?

Sicher?

Du kannst auch Formular-Felder hinzufügen z. B. Art der Anfrage, Bezug zu einem Zeitpunkt im Video oder Audio.

#5 Timer prüfen

Roboter können pro Sekunde viele Anfragen an Deinen Posteingang senden, während ein normaler Mensch mehrere Minuten braucht, um eine relevante Anfrage zu formulieren.

Diese Zeit kann eine Webseite messen. Der Algorithmus sortiert dann aus, welche Anfrage in 0,01 Sekunden „getippt“ wurde.

#6 Vom Standard abweichen

WordPress bietet eine Vielzahl von Plugins an. Diese fügen ein Formular zu Deiner Webseite hinzu.

Manche dieser Plugins haben Millionen von Installationen. Genau auf diese Formulare haben es die Kriminellen abgesehen, weil diese immer gleich funktionieren. Findet der Roboter des Kriminellen eine solche Webseite, probiert dieser gleich seine Standard-Exploits (Ausnutzung) aus.

Weiche von „der großen Masse“ ab, indem Du Dein eigenes Formular nutzt oder bekannte Formulare stark veränderst.

Überlastung verhindern – Antiflood

Wir können uns noch so tolle Mechanismen ausdenken, aber gegen Flooding-Angriffe hilft diese Strategie nicht weiter. Das Ziel eines Flooding-Angriffs ist die Überlastung der Systeme eines Opfers. Jeder Computer ist auf X Anfragen pro Sekunde limitiert. Überschreitet der Server diese Anzahl an Anfragen, kann ein echter Kunde nicht mehr auf das System zugreifen.

Der Beitrag über DDoS und Bots beschreibt den Angriff im Detail. Honeypots sind hier nutzlos, wir müssen IPs sperren, den Traffic umleiten oder ein Sinkhole erstellen.

Hacking Honeypot

Hacking Honeypots arbeiten anders als Spam Honeypots. Hacking Honeypots sind sehr einfach attackierbare Systeme, welche wie ein Köder für Kriminelle wirken sollen.

Außerdem besorgst Du Dir die Logenposition und überwachst alles, was der Kriminelle mit diesem Honeypot macht. Im Gegensatz zum Spam-Honeypot willst, Du einen Hack nicht verhindern, sondern fördern …

Warum brauche ich einen Hacking Honeypot?

  • Wenn ein Krimineller in einen Honeypot tappt, dann kannst Du das Verhalten des Kriminellen verstehen. Was macht er? Was ist sein Ziel? Welche Tools nutzt dieser? Eine gute Überwachung ist hier der Schlüssel.
  • Wenn ein Honeypot in Deinem internen Netzwerk gehackt wird, dann weißt Du, dass die Kriminellen bereits im Netzwerk sind. Vielleicht solltest Du andere Systeme prüfen, ob diese auch bereits gehackt wurden.
  • Wenn Du ein interessierter IT-Typ bist, der Zeit von Kriminellen verschwenden will und darüber coole Stories schreiben will.

Wie funktioniert dieser?

  1. Honeypots laufen „möglichst“ auf einer separierter Hardware. Du kannst Dir fertige Honeypots im Internet kaufen (Hardware mit Software) oder Dir eine Honeypot-Software einen Raspberry PI ziehen.
  2. Jetzt brauchst Du noch einen Log-Server. Du willst nicht nur, dass die Kriminellen hineintappen, sondern auch möglichst viel von den Interaktionen mitbekommen.
  3. Mache den Honeypot sichtbar im Netzwerk, vergebe das Standard-Passwort der Software oder admin / admin. Verhindere, dass Mitarbeiter oder andere normale Nutzer im Netzwerk auf die Idee kommen können, dass der Honeypot ein echter Service ist.
  4. Überprüfe, ob die Logs Deine Log-Server erreichen, sobald Du auf den Honeypot zugreifst.
  5. Blocke bei andern Servern und Services den Zugriff, welcher von einem Honeypot aus stattfinden könnte. Das nennt sich Lateral Movement im Netzwerk. Dieses Vorgehen der Kriminellen sollten wir um jeden Preis vermeiden, sondern den „Schaden“ nur auf den Honeypot vermeiden. Falls die Kriminellen den CPU zum Schmelzen bekommen wollen, dann ist die kostengünstige Hardware des Raspberry PI eine gute Option.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).

Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Webseite nutzt nur technisch notwendige Cookies.