Spam-Mails bei online Widerrufsformular - wie verhindern?

Thema wurde von robert, 30. Juli 2015 erstellt.

  1. robert

    robert Erfahrener Benutzer

    Registriert seit:
    5. Mai 2011
    Beiträge:
    319
    Danke erhalten:
    25
    Danke vergeben:
    109
    Heute hat man bei meinem Shop das online Widerrufsformular für Spam entdeckt. Ich bekam fast 2000 Emails. Das Onlineformular hab ich jetzt abgeschaltet. Wie kann ich im Shop schnell alle diese Widerrufe löschen bzw. die dadurch entstandenen fast 4000 Emails?
     
  2. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    #2 carstengentsch, 30. Juli 2015
    Zuletzt bearbeitet: 30. Juli 2015
    Sinnvoll wäre es doch das dieses Onlineformular nur eingelogten Kunden zu verfügung steht, das es irgendwann für Spamm missbraucht wird war ja klar. Und ansonsten heißt es ja das Formular muss nur verfügbar sein also Download das reicht aus lt. WBZ

    Es sollte eigentlich im Account des Kunden zu finden sein als Onlinevariante der rest muss ja nicht sein!
    Denn wenn die Url bekannt ist kann selber jeder bot die an den Shop anhängen und aufrufen hier sollte schnell nachgebessert werden Gambio!!!

    http://www.shopurl.de/withdrawal.php das ist einfach mist so!!!
     
  3. Christoph (Ponykiste.de)

    Christoph (Ponykiste.de) Erfahrener Benutzer

    Registriert seit:
    30. November 2013
    Beiträge:
    165
    Danke erhalten:
    8
    Danke vergeben:
    53
    Wird nur Problematisch bei Gastkonten oder sehe ich das falsch? Den hier haben die Kunden ja kein Login =)
     
  4. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    Nein ich denke nicht, denn der Gastkunde kann sich ja das Formular herunterladen das ist ja zugänglich und wird auch so gefordert von der WBZ. Aber das Onlineformular sollte nur per Acount erreichbar sein. Denn wenn sich diese Lücke rumspricht haben bald alle Gambio Nutzer das Problem!
     
  5. robert

    robert Erfahrener Benutzer

    Registriert seit:
    5. Mai 2011
    Beiträge:
    319
    Danke erhalten:
    25
    Danke vergeben:
    109
    Die Antwort vom Support:
    auch den Widerruf selber muss einzeln löschen.
    Ich denke damit ist der Online-Widerruf in Gambio für alle Nutzer sinnlos - denn was mir passiert ist kann jeden treffen.
     
  6. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    31.458
    Danke erhalten:
    9.641
    Danke vergeben:
    1.423
    @ Gambiio

    ich stimme Robert da zu.
    Wenn es nicht mit einem Captcha geht, dann schafft doch bitte die Möglichkeit das nur angemeldeten Kunden zur Verfügung zu stellen.
     
  7. carstengentsch

    carstengentsch Erfahrener Benutzer

    Registriert seit:
    22. Juni 2015
    Beiträge:
    219
    Danke erhalten:
    10
    Danke vergeben:
    31
    genau denn die Url ist ja bei allen Gambioshops die gleiche so kann ein bot schnell die url anhängen udn das ganze läuft automatisiert ab!!! Den Link allein entfernen aus der Seite hilft da wenig!
     
  8. robert

    robert Erfahrener Benutzer

    Registriert seit:
    5. Mai 2011
    Beiträge:
    319
    Danke erhalten:
    25
    Danke vergeben:
    109
    bei mir sind in einer 3/4 Stunde 2000 Widerrufe eingegangen, mit Antwort-Email also 4000 Stück. Man denke sich nur aus, wenn das mal eine ganze Nacht läuft. Ich verstehe Gambio weder für so eine Softwarelösung noch dafür, wie man nun lapidar mit dem Problem umgeht. Alleine schon der Abgleich mit der Bestellnummer würde etwas bringen. Beim Hack wurde als Bestellnummer einfache eine 0 eingetragen. Ist das hier vielleicht die falsche Rubrik, in die Gambio Mitarbeiter nie reinsehen?
     
  9. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    31.458
    Danke erhalten:
    9.641
    Danke vergeben:
    1.423
    Ich habe mir mal kurz die Dateien dazu angesehen.
    In der system/ classes/ withdrawals/ WithdrawalFormContentView.inc.php
    wird geprüft ob der Kunde angemeldet ist und wenn "ja" wird das Formular mit der letzten Bestellung vorausgefüllt.
    Die müsste an doch so umfunktionieren können, das bei "nein" das Formular nicht geöffnet werden kann.

    So wie es jetzt ist, dass man das Formular öffnen kann, auch wenn es im Admin ausgeschaltet ist, geht gar nicht.
     
  10. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.339
    Danke erhalten:
    5.900
    Danke vergeben:
    1.052
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    ich hab das mal aus smal-talk zu den Bugs geschoben, da ich hier auch handlungsbedarf sehe.
    allerdings sollten die wiederruf mails in deinem mailkonto rel. einfach zu löschen sein, zumal das nix mit gambio zu tun hat.
    die Wiederufs IDs innerhalb des Shops sollte man sicher auch leicht in der DB löschen können, da die ja keiner bestellung zugeordnet sein dürften.
    dennoch gibts verbesserungs potential seitens gambio
     
  11. Kann man es nicht deaktivieren, und den Widerruf in das Kundenmenü als Link einfügen ?
    Somit müsste das Problem doch behoben sein oder ?
    Falls ja würde Ich mich Morgen mal ein wenig damit befassen.
    Aber für heute ist genug......
    Euch noch einen schönen Abend


    Mfg Michael
     
  12. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.339
    Danke erhalten:
    5.900
    Danke vergeben:
    1.052
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Damit verwehrst du Gast Kunden den Zugang zum online Formular.
    Denke sinnvollste Lösung wäre -
    - ohne Login als Kunde mit Captcha
    - mit Login als Kunde ohne Captcha.
     
  13. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    31.458
    Danke erhalten:
    9.641
    Danke vergeben:
    1.423
    Laut Gambio geht captcha nicht, da Abmahnfähig (siehe Post 5)

    @ Michael
    Das Problem ist, dass die Seite auch aufgerufen werden kann, wenn man das Formular im Admin ausschaltet.
    Im Grunde deaktiviert man nur die Anzeige des Links.
     
  14. robert

    robert Erfahrener Benutzer

    Registriert seit:
    5. Mai 2011
    Beiträge:
    319
    Danke erhalten:
    25
    Danke vergeben:
    109
    Hallo Dennis, schau doch mal bitte im Armin unter Kunden-> Emails. Dort sind die Emails aufgelistet worden. 4000! Auch unter Kunden-> Widerruf stehen bei mir fast 2000 Widerrufe. Zum löschen muss man 2x bestätigen, jeden einzelnen. Das meinte ich. Die 2000 Emails auf meinem normalen Mailserver kommen hinzu, aber da war die Löschung kein Problem. Und für die Löschung in Gambia hatte ich ein Ticket aufgemacht und als Antwort erhalten, das man nur einzeln löschen kann. Von der Datenbank lasse ich da die Finger...
     
  15. War gerade auf einer Seite, wo der Betreiber echt eine gute Idee hatte. Ich hatte es versucht und es ging wirklich sehr gut
    Hier ein kleiner Auszug aus seiner Seite. Vielleicht kann man daraus was machen ?


    Inhaltsfilter zur Erkennung von Spam

    Zusätzlich können und sollten die Inhalte analysiert werden. Auch wenn die Spam-Bots sehr effektiv programmiert sind - die Spammer sind meist blöd und verschicken allzu leicht als Spam erkennbare Inhalte. Außerdem können Sie nur hierüber die seltenen manuellen Spam-Einträge zu verhindern versuchen. Ich will hier nur einige Kriterien aufzeigen, anhand derer Spam relativ zuverlässig von echten Inhalten unterschieden werden kann.
    Links sind meist der wichtigste Inhalt und eigentliche Grund zur Versendung von Spam. Wenn ein Text bereits mit einem Link begonnen wird, ist die Wahrscheinlichkeit sehr hoch, dass es sich um Spam handelt. Spam ist auch daran zu erkennen, dass gleichzeitig über mehrere Methoden versucht wird, eine Verlinkung zu erreichen:


    Wortfilter können - aber bitte mit Umsicht - eingesetzt werden. Die einmalige Verwendung des Wortes »Viagra« ist mit Sicherheit noch kein Indiz für Spam. Übel ist insbesondere eine einfache Suche nach Zeichenfolgen; so wäre es fatal, nach »porn« zu suchen und Ansporn dadurch als Spam zu betrachten.
    URLs können ebenfalls ein Kriterium für Spam sein, besonders i.V. mit Wortfiltern. So ist der Versuch, eine Adresse wie pharmacy.example.org/tramodol zu verlinken, mit Sicherheit Spam. Und absolut in jede meiner Spam-Fallen war dieser stümperhafte (hier verkürzt wiedergegebene) Versuch getappt:


    <a href="http://www.example.edu/x/y/z.htm?viagra-online">viagra online</a>
    http://www.example.edu/x/y/z.htm?viagra-online
    http://www.example.edu/x/y/z.htm?viagra-online]viagra online


    Ich verwende in meinem Gästebuch sehr verschiedene Arten von Wortfiltern. Besonderes Augenmerk gilt wie schon erwähnt dem Textanfang und auch dem Textende; über 40% der Spams fallen hierbei auf. Eine unsinnige Zeichenfolge im Betreff wird zu über 14% eingetragen und immerhin 0,5% der Bots tragen in verschiedene Felder den gleichen Inhalt ein.
    Die anderen der hier vorgestellten Methoden konnten allerdings bereits fast 99% der Spams filtern, so dass diese Wortfilter nur das fehlende Tüpfelchen auf den „i“ für eine nahezu 100%ige Spam-Abwehr darstellt. »Nahezu« deshalb, weil sich Spam-Inhalte ändern und z.B. für neue Produkte geworben wird, so dass bei den in drei Jahren gezählten 100.000 Spam-Versuchen kürzlich doch ein sehr intelligent programmierter Spam-Bot Erfolg hatte — aber danach aufgrund angepasster Wortfilter nicht mehr.
    Umbruch extrem langer Zeichenfolgen durch Einfügen von Leerzeichen schließlich dient nicht nur der Stabilisierung des Layouts einer Seite. Spam-Links haben oft eine extrem lange URL, die natürlich kein Leerzeichen enthalten kann. Kommen solche URLs mehrfach vor, ist dies ein relativ sicheres Indiz für Spam. Meine Wordwrap-Funktion zählt daher auch die erforderlichen Umbrüche zur Spam-Erkennung mit einer Quote von über 45%.
    Aber auch das Gegenteil kommt vor: Über 3% der Spam-Bots setzen Zeilenumbrüche in einzeilige Eingabefelder.
    Ich bitte um Verständnis dafür, dass ich hier nicht alle meine Methoden und Kriterien zur Spam-Abwehr veröffentlichen will, da sie sonst von Spammern ausgehebelt werden könnten. Mit den hier aufgezeigten Tipps sollte es aber möglich sein, individuelle und damit sichere Alternativen zu Captchas zu entwickeln, so dass Sie Ihre Besucher nicht mit diesen lästigen oder gar rätselhaften Barrieren konfrontieren müssen. Wenn nicht, sprechen Sie mich an und ich unterstütze Sie darin.
     
  16. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.073
    Danke erhalten:
    6.464
    Danke vergeben:
    1.983
    Wir lesen durchaus auch diese Rubrik, da gibts keine Unterschiede. Die Antwort meines Kollegen war auch nicht lapidar, sondern richtig. Nur weil man nicht einer Meinung ist, ist eine Antwort nicht schlecht. Das Thema ist nur heikel.

    Aber mal ran: Ich verstehe das Problem, das da herumgespammt wurde ist blöd. Wir werden da aber nicht blindlinks etwas ändern, weil die Spielräume bis zur Abmahngefährdung äußerst gering sind. Eine Validation der Bestellnummer zum Beispiel könnte schon als unlautere Erschwerung des Widerrufsanspruchs von Kunden gelten, unsere Rechtspartner hatten uns mal gesagt das geht nicht. Captchas schlagen in die gleiche Kerbe. Die Aussagen sind ein Jahr alt, das ist für so eine rechtliche Sache noch recht jung. Es braucht nach einer Änderung immer erst einige Gerichtsurteile für eine Deutungssicherheit von Gesetzen, die Lücken werden so geschlossen. Ich kann trotzdem unsere Rechtspartner anfragen, ob es dazu Neuigkeiten gibt, aber es wäre vermessen würde ich jetzt behaupten wir ändern da sicher und mal eben etwas. Wir müssen das rechtliche Risiko für alle Kunden minimieren, und wenn alle Juristen Sorgenfalten aufsetzen wenn wir nachfragen, dann gibts jetzt keine Optionen.
     
  17. Dennis (Print-Weilburg.de)

    Dennis (Print-Weilburg.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.339
    Danke erhalten:
    5.900
    Danke vergeben:
    1.052
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Den Menüpunkt hab ich nicht :)
     
  18. Die Lösung liegt doch bereits auf der Hand und wird schon von vielen umgesetzt


    Inhaltsfilter zur Erkennung von Spam !

    Wenn Ich wüsste wie und wo Ich den oben genannten Filter einbauen kann, dann würde Ich es versuchen.
    Der Inhaltsfilter lauft im Hintergrund und scannt ja nur die Nachrichten die eingetippt wird.
    Warum baut man auf dieses Script dann nicht einfach auf ?


    Mfg Michael
     
  19. barbara

    barbara G-WARD 2014-2020

    Registriert seit:
    14. August 2011
    Beiträge:
    31.458
    Danke erhalten:
    9.641
    Danke vergeben:
    1.423
    Hallo Wilken,

    man muss das Formular ja nicht online anbieten.
    Nur wenn ich es im Admin ausschalte , sollte es auch nicht über die URL aufrufbar sein. Und das ist es derzeit.
     
  20. Wilken (Gambio)

    Wilken (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    7. November 2012
    Beiträge:
    17.073
    Danke erhalten:
    6.464
    Danke vergeben:
    1.983
    Hi Barbara !

    Kapiert. Ich mach nen Bug-Report auf.

    https://tracker.gambio-server.net/issues/42711