1994 ging das WWW online. Das "World Wide Web" (WWW) ist NICHT das Internet, auch wenn es so verstanden wird, sondern nur eine Art des Internets. Es gab vorher auch andere Netze und gibt auch jetzt noch viele andere Netze. Doch darauf will ich nicht hinaus.
Ich beschreibe einfach mal die Entwicklung, die es in Sachen Werbespam seit damals gegeben hat. Es ist keine Studie, sondern sind Erinnerungen.
"Damals am Anfang"
Das Netz war im Aufbau. Es gab keine Regeln irgendwelcher Art auf die man sich verlassen konnte. Es gab auch noch keine Erfahrungen, die man nachlesen oder von anderen bekommen konnte.
Damals wurde man oft mit Werbebannern belästigt, die sich nicht nur über die Seite legten, sondern auch Kaskaden von weiterer Werbung aktivierten, wenn man sie schließen wollte.
Damalige Rechner konnte man auf diese Art sehr schnell lahmlegen. Sie waren einfach nicht "stark genug" um solche Mengen an Popups zu verarbeiten.
Irgendwann wurden Werbeblocker erfunden, die diese Belästigung verhinderten.
Web2
Ich weiß jetzt nicht, weshalb es "Web 2" genannt wird. In Englisch ausgesprochen klingt es "Web to" = Internet an (Leser/Benutzer).
Egal, jedenfalls wird damit sozusagen das aktuelle WWW bezeichnet, bei dem man nicht nur lesen kann, sondern auch selbst aktiv sein kann, ohne selbst eine Seite zu haben.
Es begann mit Chats (kleine Boxen in denen man in Echtzeit schreibt)
Bereits dort tauchten die ersten "Spammer" auf. "Spam" war damals nur Werbung und hatte keine weitere/andere Bedeutung.
Noch musste man sich per Hand registrieren und setzte dann vorbereitete Links und Meldungen ab.
Nachdem aber alles "in Normen gepresst" wurde und alle sich an bestimmte Normen halten wollten , war es an der Zeit , diesen "Normierungswahn" auch mal für aktive Werbung zu nutzen.
Damit begann auch die Zeit der Spam-Bots.
Zu Beginn gab es viele Hürden, die man einem Spam-Bot setzen konnte
Das Registrierungsformular war die erste Hürde, die die damaligen Bots nicht zu überwinden im Stande waren.
Es war also ganz einfach, sie draußen zu halten.
Damalige Rechner waren nicht so leistungsstark wie heute und das Internet war langsam. Aus diesem Grund reichte es auch aus, einfach ein Zeitlimit zu setzen. Innerhalb dieser Zeit musste man das "Registrierungswort" eingegeben haben. Der Mensch war damals immer noch schneller als der Bot-Rechner. Man brauchte also nur "ganz normale Zeiten" zu warten.
Die nächste Hürde bestand in den ersten Captchas
"Captcha" kommt vom engl. "Capture" = fangen. Bots sollten sich da also selbst fangen und lahmlegen 
Damalige Bots waren noch nicht in der Lage, Bilder erkennen zu können. Das einfachste und damals wirkungsvolle Captcha bestand also einfach aus einem Bild.
Danach begannen die Bots aber OCR-Software zu nutzen. Jetzt konnten sie Bilder als Text erkennen.
Man begann, die Bilder immer weiter zu verzerren. Erst einfach Kursivschrift, später so "hakelig" als wenn ein Kleinkind Buchstaben schreiben wollte.
Irgendwann war aber auch diese "Zeit der Bot-Sicherheit" vorbei.
Die Spambots wurden auch gegen diese Tricks immun.
Jetzt fügte man Linien und Raster im Hintergrund ein, damit das Captcha selbst immer unleserlicher wird.
Während sich die Bot aber darauf einstellten, waren diese Captchas eher ein Hindernis für die menschlichen Nutzer. Man konnte dieses Captcha-System nicht mehr verfeinern oder weiterführen.
Das Re-Captcha war/ist die nächste Stufe
Hierbei wird ein 2-teiliges Captcha von einem fremden Server geliefert. Eigentlich ist es immer noch so gemacht wie die ersten Captchas: Zwei Buchstabenkombinationen werden jeweils einzeln verzerrt und als Bild gezeigt.
Da ein Bot OCR-Erkennung beherrscht, ist es für ihn eigentlich auch ein Leichtes, diese Captchas zu lösen. Er muss beide Teile des Captcha einzeln analysieren, um es lösen zu können.
Was ihm am Anfang Probleme machte ist, dass die Bilder nicht statisch sind. Da das aber auch bei den ersten Captchas so ähnlich war, war diese Hürde recht schnell zu nehmen.
Die nächste Hürde besteht im Fremdserver, der das Captcha liefert.
Diese Hürde besteht auch nicht mehr. In Indien ist "Captcha-Löser" ein ganz normaler (und relativ gering bezahlter) Job. Diese Billigarbeiter lösen ihnen gezeigte Captchas manuell in Sekundenbruchteilen. (wir berichteten schon darüber)
Ob diese Leute nun live die Captchas lösen, die einem Bot gerade gezeigt werden oder ob da eine riesige Bild+Lösung-Datenbank entsteht, ist nicht bekannt.
Re-Captchas sind teilweise jedoch schon (wieder) von einem normalen Menschen so schwer zu lösen, dass man auch eine akustische Version abrufen kann, die man dann als Lösung eingibt.
Hat ein Bot erst einmal das Captcha und andere "Abfangsysteme" überwunden, setzt man ihm weitere Hürden
1) Angabe einer E-Mail-Adresse
Am Anfang war es noch leicht, einen Bot damit auszusperren. Es gab nur wenige allgemein bekannte und nutzbare Mail-Domains (Endungen hinter dem @ Zeichen). Gleichzeitig enthielten sie nur 3 Buchstaben.
Die ersten Bots konnte man schnell daran hindern, ihre Werbebotschaft loszuwerden.
Nachdem aber immer mehr Domains möglich waren, versagte auch diese Kontrollmöglichkeit.
Heute muss man schon die Mail-Domain mit großen Datenbanken abgleichen, um "bekannte Spambots" auf diese Art ausschließen zu können.
Da man aber auch falsche Adressen eingeben kann, ist dieser Abgleich eher nur ein Versuch, der Spambots Herr zu werden.
Der "billigste Trick" eines Bots ist, dass er einfach die Domain der eigenen Seite eingibt. Die wird ja wohl nie auf einer Sperrliste stehen. Schon hat er es geschafft, die erste Bedingung zu erfüllen.
2) Die Angabe eines "logischen Accountnamens" in der Mailadresse
In den Anfängen war es Bots immer noch möglich, irgendwelche Buchstaben und Zahlenkolonnen als Mailadress-Anfang zu nutzen.
"asdfdfdfdf" und ähnlicher Blödsinn war gestattet und wurde (und wird heute noch) von Bots genutzt.
Da man solche Kombinationen schnell aussperren/verhindern kann, sind die Bots dazu übergegangen, dass sie echte Namen benutzen.
Schuld an der Misere hat vorrangig der Klarnamenzwang von Facebook. Jeder Facbookuser hat mindestens eine FB-Mailadresse (gehabt) in der sein Name drin stand. Was gibt es Einfacheres als dass man auf diesen "Namen-Zug" aufspringt ? Angeblich 1 Milliarde FB-Nutzer stehen als Werbe-Opfer bereit.
Bots benutzen heute Datenbanken, aus denen sie einen Vornamen und einen Nachnamen entnehmen.
Diese beiden Teile bilden den Anfang einer Mailadresse.
Gegen dieses Vorgehen gibt es keine automatische Gegenwehr mehr. Man kann nicht erachten, wie "stimmig" die Mailadresse ist.
3) Angabe eines Benutzernamens
Ähnlich wie bei der Mailadresse, wurden anfangs auch alle möglichen Zeichenkombinationen zugelassen. Keine Möglichkeit, einen Bot auszusperren.
Mit der Facebook-Datensammelei wurden aber echte Namen verpflichtend. Auch hier sprangen die Bots wieder auf den FB-Zug auf.
Sie verwenden erneut Datenbanken für Vornamen und Nachnamen und umschiffen somit das, was sie eigentlich fernhalten soll.
Am Anfang war es trotzdem noch sehr leicht, solche Bots zu erkennen:
Die Bots benutzten zufällige Namenskombinationen, die bei jedem Eingabefeld erneut generiert wurden. So kam es häufig vor, dass die Mailadresse z.B. aus "Lieschen.Müller@spambot.de" bestand aber als Benutzername "Max Mustermann" zu lesen war.
Kein Problem, so etwas abzugleichen und eine Registrierung zu verhindern.
Die Anfangszeiten sind jedoch vorbei:
Jetzt nutzen Bots schon identische vorgetäuschte Mail- und Echtnamen. Die Kontrollen und Sperren versagen.
Hat der Bot diese Hürde überwunden, kann man weitere Sperren einbauen
Aktivierungshürde
Der Bot soll sich per Mail aktivieren, indem er einen Link aus der Mail aufruft.
Das Verfahren hat lange geholfen. Bots lesen keine Mails und klicken auch nichts an. Aus diesem Grund konnte man einem Bot den Zutritt selbst nach der Registrierung noch unmöglich machen.
Irgendwann waren Bots jedoch in der Lage, auch Mails zu lesen und sich damit auch selbst zu aktivieren.
Das hat sich zum Glück noch nicht allgemein verbreitet.
Viel größere Verbreitung hat aber ein Dienst gefunden, bei dem der Betreiber automatisch alle Aktivierungslinks in einer Mail automatisch anklickt. Betreiber solcher Dienste stellen sich eindeutig auf die Seite von Spam-Bot-Betreeibern. behaupten aber etwas anderes, damit sie kein Negativ-Image bekommen. (auch hierzu berichteten wir schon vor einiger Zeit)
Es ist klar, das Spam-Bots solche Betreiber vorrangig nutzen, da dadurch keine eigene Infrastruktur oder Aufwand nötig ist.
Die Aktivierung per Mail gehört also heute schon zu den "Spam-Bot-Abwehrmaßnahmen von gestern". Sie ist überwiegend wirkungslos als Abwehrmaßnahme geworden.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Betreiber von Blogs, bei denen sie Kommentare zulassen wollen, haben weniger Möglichkeiten als Betreiber von Seiten bei denen es eine "Mitmach-Community" gibt.
Ihre "Anti-Spambot-Maßnahmen" enden bei der Eingabe von Namen , Mailadresse und Internetadresse.
Aus diesem Grund sind sie "erstes Ziel" von Spam-Bots.
Ihre ersten Gegenmaßnahmen müssen deshalb zunächst darin bestehen, dass sie die eingegebenen Daten mit Anti-Spam-Listen und Spammer-IP-Listen abgleichen lassen.Diese könne eigene Listen oder extern bezogene Listen sein.
Die nächste Möglichkeit, einen Spam-Bot zu erkennen, ist die Verwendung von diversen Blacklists. Bestimmte Schlüsselwörter im Text identifizieren dann den Spambot als Solchen.
Auch das Erkennen und Unterbinden von Links zu anderen Seiten ist ein gutes Mittel, die Werbebotschaft eines Spambots unschädlich zu machen.
Betreiber von Communities haben nach der Registrierung ein Grundproblem: Sie wissen nicht, wann ein Werbetext erscheinen wird.
Ihr Gegenmaßnahme ist, dass der neue User zunächst auf "moderiert" gestellt wird. Dadurch erscheint sein Inhalt nicht sofort, sondern muss extra manuell aktiviert werden (nachdem er kontrolliert/moderiert wurde)
Während der Betreiber eines Blogs direkt am Kommentar erkennt, dass es sich um einen Spammer handelt, hat der Betreiber einer Community also immer eine latente Gefahr, dass er sich einen "Spammer eingefangen" hat. So ein latenter Spammer kann später zur Löschung der Seite führen (wir berichteten über so einen Fall)
20 Jahre WWW - 20 Jahre Werbe-Spam - 20 Jahre Kampf gegen Werbetricks und Werbemaschinen.
Es wird wohl bis zum Ende der Kommunikation gehen, dass wir uns alle damit herum schlagen müssen.
Der Nutzer weil er keine Werbung sehen will und der Betreiber, weil er keine Werbung auf seiner Seite haben will.. die er nicht selbst speziell zugelassen hat.
Auch wenn ich schreibe, dass die Bots immer intelligenter werden, so handelt es sich doch nur um kleine Routinen und Programme, die keinerlei Intelligenz aufzuweisen haben.
Auf der anderen Seite sitzen Menschen, die diese Programm schreiben, die dann den Werbeschaden verursachen.
Die Betreiber der Spam-Bots verdienen in der Masse viel Geld damit. Da sie Menschen sind, sind sie in der Lage, ihre Programme immer wieder auf die jeweiligen Abwehrmaßnahmen anzupassen.
Keine Maßnahme ist dauerhaft geeignet. Jede wird irgendwann einmal untauglich werden. Je mehr Verbreitung eine Abwehrmaßnahme findet, desto lohnenswerter ist es für die Programmierer der Spambots, sich darauf einzustellen.
Wenn also ein Abwehrsystem allgemein als zuverlässig empfohlen wird, sollte man dieses System eben NICHT mehr verwenden, sondern sich einem anderen noch nicht gebräuchlichen zuwenden.
Wer "mit der Menge schwimmt ", wird in der Spam-Bot-Welle untergehen.
Im Internet bietet die Masse keine Sicherheit gegen Spam, sondern provoziert sogar noch, dass sich die Verursacher darauf einstellen .. weil es eben mit immer weniger Mühe verbunden ist und immer mehr Erfolgsaussichten hat, wenn möglichst viele das Gleiche machen und man sich nur noch darauf einstellen muss, was der Großteil macht.
Es gibt immer wieder Tricks, mit denen man aus der Masse hervorstechen kann. Wir setzen sie selbst ein und testen auch immer wieder neue Möglichkeiten.
Diese Möglichkeiten müssen einfach nur für einen echten Menschen nachvollziehbar sein, dann funktionieren auch ganz einfache Tricks.
Rund 1,5 Jahre lang haben wir uns Spam-Bots durch eine ganz einfach Möglichkeit vom Hals gehalten:
In den Forenregeln war ein (nicht anklickbarerer) Link enthalten. Man musste ihn nur kopieren und konnte sich dann unter einer anderen Adresse registrieren.
Die nächste Version wird etwas komfortabler für menschliche Nutzer werden. Auf Spambots wird dort aber eine Reihe von Abwehrmaßnahmen warten, die eine Kombination aus allem Möglichen ist. Ein Mensch wird darüber lächeln. Sie sind ganz einfach für ihn. Ein Spam-Bot wird dadurch aber so behindert, dass er die Seite nicht immer wieder erneut aufsuchen wird.
Wenn das Abwehrsystem dann irgendwann so verbreitet ist, das die Bots sich darauf einstellen ... dann fällt uns garantiert wieder etwas Fieses gegen Spambots ein.
Die einzige Chance für einen Seitenbetreiber ist: Den Bots immer um einen Schritt voraus sein. Ein einziger Schritt genügt.
Mal schauen, was die nächsten 20 Jahre so bringen werden. Ich bin gespannt.
Plangemäß wird es diese Internetseite auch dann noch geben. Dann werde ich auch aus den nächsten 20 Jahren erneut einen kleinen Rückblick schreiben.
Ob meine Tricks wohl lange funktionieren werden ?
Wie lange werden sie nützlich sein ?
Wird es in 20 Jahren überhaupt noch Seiten ohne Werbung geben ?
Wie lange muss ich mir eigentlich noch anhören, dass ich mit der Seite relativ viel Geld verdienen könnte, wenn ich Werbung schalten würde .. und wann wird der finanzielle Verlust so hoch sein, dass doch mal auf's Geld schaue ? Weiß ich auch nicht. Ich warte es ab. Ich habe diese Seite als reines Hobby begonnen, um anderen Menschen irgendwie mal helfen zu können.
Ein Hobby kostet Geld und sehr viel Zeit. Man investiert sie eben.
Sollten Spambots irgendwann so viel Arbeit kosten, dass der Abwehraufwand nicht mehr lohnt , dann geht es eben zurück zu "Web 1" .. in die Zeit als man noch nirgendwo mitmachen konnte
Die ersten Blogger haben diesen "Rückschritt in die Vergangenheit" bereits vollzogen, weil es für sie anders nicht mehr zu handhaben ist. Bei anderen muss man sich selbst für einen einfachen Klick zunächst sehr umständlich registrieren.
Hauptsächlich Spam-Bots sorgen für dieses Verhalten.