Всем привет.

На одном из проектов зафиксирована массовая атака авторегистрируемых бот-аккаунтов. Данный вид атаки, как вариант, нацелен на то, чтоб создать профайл и в нём записать ссылку на сторонний сайт.

Зависимость бот-аккаунтов можно посмотреть по типичным признакам в скрине по ссылке: https://i.imgur.com/ALQYcS8.png

Настроить подтверждение по email не вариант. Предзаполнение по номеру телефона обходят.

Как защититься от них? Сделать каптчу от Google? Запретить использовать аналогичные имя и фамилию?
Обновлено 5 Ноя 2017, 01:19
Капчу плохо пробиваемую ботами поставить, как Вы правильно отметили в соседней теме. На текущий момент это reCAPTHA 2.0 от Гугла. Ставиться должна легко на ЛЮБУЮ CMS. Чуть (действительно чуть) сложнее, если рекапч на странице несколько, но тоже решаемо и описано в документации Гугла. Других способов я не знаю. Хотя от "не русских" ботов хорошо помогает автоповерка на отсутствие во введенных данных хотя бы одной русской гласной. Простейший способ, но очень эффективный.
Пользователи не любят reCAPTHA от Google - это факт. Тем более она влияет на конверсию в худшую сторону. Если цитировать независимого специалиста:
 
Можно попробовать несколько тактик, если атака особо не направлена, а это просто боты-пауки, то можно попробовать такой способ: в форме регистрации добавляется поле и называется например phone, стилями это поле скрывается, т.е. человек это поле не увидит и не заполнит, а бот увидит поле phone и автоматом его заполнит (потому что как правило боты заполняют поля которые есть у них в базе). Если мне приходит заполненная форма с телефоном, то ее точно заполнил бот и я просто игнорирую это действие. Бот доволен что отослал запрос, мы довольны что его просто проигнорировали. Если бот умнее, тогда можно думать о других более специфических методах определения ботов и только если и они не помогут и совсем невозможно так работать только тогда я бы использовал CAPTCHA. Под понятием игнорирую, это не администратор сайта видит заполненное поле и игнорирует его, а скрипт обработки формы даже не создаст нового пользователя и не будет докучать всякими уведомлениями.

То конечно он от части подтверждает мои догадки. Что мы сделали в итоге? Обошлись изменением HTML кода на странице и вот на данный момент наблюдаем. Если сработает механизм, напишу что сделали.