Hasta los mismisimos de hilos con cupones de Temu

Tommy blackbird escribió:

- Creo que lo primero es implementar captchas de calidad en el registro, y probablemente en el propio login cada vez que se accede. Ya sabemos que no son infalibles, pero criban bastante.
- También la verificación en 2 pasos para el acceso. Login + código enviado al mail cada vez que te autenticas.
- Añadir un captcha o pasos adicionales (tipo cuestionario) a la hora de crear un hilo, también puede cribar algo.

a ver, si pones todo ésto el que no va a entrar soy yo jajaja

#12 No son personas, son programas automatizados.

Ni siquiere tiene que ver con Temu, podrían usar como gancho "Rebajas en Amazon" o "Amplía tu Netflix"... son intentos de estafa. Entras, pinchas en el enlace que crees que es una oferta de Temu, y ya tienen tus datos.
Como sale casi gratis inundar los foros con estos mensajes, con que una persona pique, ya lo han rentabilizado.

Cuanto ocupa un Span de TEMU ?
30 o 40 renglones ?
Pues poner un limite en el programa para Hilos que contentan más de 20 renglones,
un visto bueno por la administración antes de publicarlos y listo !!!
Para un buen programador son 20 minutos.
Poner un filtro y mandar a TEMU alfistro duodenarrrrrr.

#13 😂 Ya, pero susto o muerte.

zos7 escribió:

Lo peor que se puede hacer con esta clase de personas es darles la importancia que buscan.

No hay personas ni buscan notoriedad. Son como avionetas soltando panfletos. Que digo avionetas, bombarderos.

Para que te hagas una idea de mensajes de este tipo por el mundo: https://www.google.com/search?q=%22UK+Temu+Coupon+Code%22&num=10&newwindow=1&sca_esv=b6b8eb79eb28b6ec&rlz=1C1GCEA_enES1129ES1131&sxsrf=ANbL-n6c0x61xR-Gc5UFkvIEdRbQyo5aGA:1772178867545&ei=s02haeeGIY7InsEP6oGRoA8&start=10&sa=N&sstk=Af77f_d2ECImgjz29NRLiHkXB0p6fqPDxuXDakPTNOjnV16b5dvIFAods8puEhH6CLw-p1FdETH5DzIngz2PJG-RsOoIP8y_A3SgtA&ved=2ahUKEwinrIPfmPmSAxUOpCcCHepABPQQ8NMDegQIDBAW&biw=1920&bih=991&dpr=1

Incluso publican en Amazon como si fuera un podcast: https://www.amazon.de/Temu-CouPon-Code-Acx320117-ExiStinG/dp/B0G7883G7R

Sólo puedes ir aplicando nuevas contramedidas cada vez que se las ingenian para saltarse las anteriores y rezar para tener equilibrio entre la seguridad y la experiencia del usuario real.

#1 Debería estar claro a primera vista que esos posts no tienen nada que ver con nosotros. Es un ataque de spam realizado por bots y es claramente indiscriminado, ya que no tiene ningún sentido (posts en inglés y sobre asuntos que en nada nos interesan).

Estamos tomando medidas, como aumentar los scores del recaptcha que ponemos en el registro, pero de momento sin éxito. Daremos con algo, o tendremos que validar el registro por SMS.

#15 No son 20 minutos (hay que diseñar un backend de aprobación de posts completo), pero el tema es que los moderadores tendrían que revisar muchos hilos al día, ya que la gran mayoría de hilos de más de 20 líneas son legítimos. Crearíamos un problema aún mayor.

¿Y borrado automático de hilos por patrones de texto en el título? Eso es algo que no cambia mucho en estos casos.

En varios foros en los que participo últimamente tenemos debates similares, entre el spam, y los bloqueos a Cloudfare por la Liga de Fútbol, están fatal.

En un foro que administro personalmente, lo que he hecho es cerrar el registro, deshabilitado la navegación e indexación a bots y crawlers y puesto un mensaje informativo para que escriban un correo si quieren registrarse. Y la dirección de correo es una imagen, no texto.

Me he quitado de un plumazo: spammers, gente que se registra, cotillea y no aporta y bots que me tiraban la base de datos cuando empezaban a escarbar en hilos de hace 10 años.

Pero en mi caso me lo puedo permitir porque es un foro en el que estamos cuatro mataós, literal, no pretendo tener ningún ingreso ni relevancia, y lo costeo de mi bolsillo porque son cuatro perras (si sale algún imprevisto, sorteo algún pedal o cacharrín y ya saco algo para mantenerlo).

En un foro como este, en el que entiendo que la propiedad quiere tener algo de ingresos, no se pueden tomar medidas tan restrictivas, te quedas sin visitas, sin impresiones publicitarias, sin relevancia... y sin ingresos. Y mantener las plataformas de Guitarristas, Hispasonic y Batacas no deben ser diez euros al mes, precisamente

Tommy escribió:

lo primero es implementar captchas de calidad en el registro

Llevan años implementados y ya ves que no son infalibles. Añadirlos al login no serviría para nada; si se saltan el del registro, se saltan el del login. Lo que estamos haciendo es aumentar los scores del recaptcha, pero no podemos pasarnos o bloquearemos la entrada a usuarios legítimos.

Tommy escribió:

verificación en 2 pasos para el acceso. Login + código enviado al mail cada vez que te autenticas

Eso implicaría un dolor de cabeza importante para los usuarios. Por otra parte, si algo tienen fácil los bots es recibir contraseñas y códigos por mail y utilizarlas, cosa que ya hacen en el mismo registro.

Tommy escribió:

Añadir un captcha o pasos adicionales (tipo cuestionario) a la hora de crear un hilo

Lo del captcha es lo mismo de antes; si rompen el del registro, harán lo mismo con los demás. Se ha probado un honeypot en los campos de registro pero también se lo saltan.

Tommy escribió:

Entiendo también que el engine de foros está basado en los antiguos phpbb o similar

No, es un desarrollo enteramente nuestro. Por eso nos hemos librado de estas cosas durante mucho tiempo, pero parece que alguien nos ha prestado más atención últimamente.

Estamos con varias medidas:

• Aumentar scores en el recaptcha de registro (ya estamos en ello y no da buen resultado)
  
• Temporalmente, impedir la publicación de posts con ciertas palabras (acabamos de implementarlo ahora)
  
• Moderar el primer post de cada usuario nuevo (coste en tiempo de trabajo, que no nos sobra)
  
• Si estas molestias continúan, pediremos número de mñovil para enviar SMS de confirmación ya en el mismo registro. Tiene sentido, porque ya se solicita para cosas como enviar privados o publicar anuncios, pero también tiene un coste
  

Para los más coders del foro, acabamos de meter esto en el método de publicación de posts:

    if (stripos($text, 'XXXX') !== false) {

      throw new BadRequestException('El mensaje contiene contenido no permitido.');

    }

No pongo el texto concreto que estamos bloqueando, por si acaso son bots especialmente listos. Pero hay que hilar fino para no bloquear posts legítimos, y escoger bien las palabras, porque suelen usar caracteres "fake" para saltarse estas barreras también. Y no deja de ser un apaño.

#20 Ya entiendo. Pero los captchas que hay ahora serán "pasivos" o automáticos (¿por movimientos de ratón?), porque no requiere acción del usuario, tipo imágenes, seleccionar pasos de cebra, deslizar una pieza de puzzle a su sitio. ¿No son más eficaces?

#22 Usamos recaptcha v3 de Google, que es invisible. Pero ya ves...

Joe, llevo días sin dormir con el asunto de Temu… 😎