Spam über das OSM-Nachrichtensystem?

Verbieten würde ich das Posten am Anfang nicht, sondern mit einer deutschsprachigen Frage verknüpfen, die ein auswärtiger Spammer nicht so leicht beantworten kann. Z. B. “Was ist sieben und zwölf?” Falls die Antwort 19 sein sollte, statt “neunzehn”, wird das Posten für fünf Minuten gesperrt. Oder “Wer ist der Bundesaußenminister?” Da hinter solchen Accountanlagen meistens große Spamfirmen in Russland oder Indien stecken, wird das für die zum Kostenfaktor, da der kleine Spammer ja 100 Accounts pro Stunde erstellen muss und ein anderer diese dann mit Schund füllt, bis sie wieder gesperrt werden.

Da hat jetzt aber jemand übersehen, dass OSM kein rein deutsches Projekt ist, sondern ein internationales, oder? :smiley:

Bei mir ist auch so eine e-mail eingegangen.
Bevor ich Nachrichten von mir fremden usern genauer lese, schaue ich in der Regel in ihr Profil.
Nachdem der user schon gelöscht war, war das offensichtlich SPAM.

Solange das Problem so überschaubar bleibt, wie es jetzt scheint, ist aus meiner Sicht keine Aktion notwendig.

Eine Frage stellt sich mir:
Wie leicht lässt sich der Anmeldeprozess von einem Bot erledigen?
Wenn das einfach möglich ist, müsste “man” reagieren.
Wenn die Anmeldung nur manuell möglich ist, dann ist der Anmeldaufwand höher als der Löschaufwand beim Empfänger
und das Problem bleibt überschaubar.

Bei mir ist bislang nichts angekommen.

Wenn ich mir https://www.openstreetmap.org/user/new anschaue, vermute ich mal: relativ einfach. Es gibt noch nicht mal eine Captcha-Abfrage. Erhält man nach der Registrierung eigentlich eine Mail, wo man die Registrierung nochmal bestätigen muss (kann mich bei mir nicht mehr dran erinnern)? Wenn beides (Captcha und Bestätigungsmail) fehlt, dann ist das Tor natürlich offen.

Ganz ehrlich! Das ist ziemlich blauäugig. :roll_eyes:

Die Admins arbeiten bis auf wenige Ausnahme ehrenamtlich. Wenn man einem User der auch noch anzügliche Mitteilungen verschickt auch noch die Möglichkeit gibt, Stellung zu nehmen, dann würden die nicht mehr hinterherkommen.

Ich gehe mal davon aus, dass die Admins sehen, mit welcher IP-Adresse man sich anmeldet. Da gibt es Adressräume, die ziemlich eindeutig auf Spam hinweisen und bei den Admins dafür bekannt sind. Da sollte es auch kein Pardon geben.

Die Idee mit der Captcha-Abfrage von Aixbrick fände ich nicht schlecht. Umgehen kann man die aber auch; Gott sei Dank aber immer noch mit sehr großem Aufwand. Kostest dieser Dienst eigentlich was?

Ja.

Captcha beschreibt ja zunächst nur ein Verfahren, nicht unbedingt einen einzelnen Dienst. Deshalb lässt sich die Frage nicht so beantworten. Meistens bezahlen die Leute aber mit ihren Daten oder mit ihrer Zeit und trainieren damit nebenbei irgendeine AI.

Nunja, man sollte halt nicht reCaptcha (Google) benutzen, es gibt freie Captcha alternativen, die man selbst hosten kann. Zudem muss man auch bedenken, dass Captcha für Menschen mit Sehbeeinträchtigungen sehr schelcht sein kann. Längere Erklärung zu Captcha und warums nicht immer notwendig ist, ist https://nearcyan.com/you-probably-dont-need-recaptcha/ man kann auch nen Honeypot machen, das wär ein verstecktes Feld, was ein automatischer Bot ausfüllt. So kann man dann auch filtern.

Im übrigen gehört spätestens sowas dann aufs GitHub von der OpenStreetMap Webseite :slight_smile:

EDIT: Es gibt übrigens ein GitHub Issue dafür aus 2015, eine erste Lösung (HoneyPot und glücklicherweise kein Captcha) wurde damals eingeführt https://github.com/openstreetmap/openstreetmap-website/issues/1083

Das finde ich überhaupt nicht. Ich bin nicht dafür, dass jemand mit falschen Beschuldigungen so einfach aus OSM gekickt werden kann. Das jemand Spam verschickt hat, stellt sich doch erst nach einer Prüfung heraus und ist nicht schon deshalb Tatsache, wenn es jemand anderes behauptet. Zumindest in DE gilt für einen Beschuldigten zunächst immer die Unschuldsvermutung bis das Gegenteil bewiesen ist.

Also wenn ich von einem account, der noch keinen Beitrag zu OSM geleistet hat, eine Nachricht bekomme, die überhaupt nichts mit OSM zu tun hat und auf irgendein windiges Angebot irgendeiner Art verweist, ist das SPAM. Ich sehe hier überhaupt keinen Bezug zu irgendeiner “falschen Beschuldigung”.
Und ich weiß nicht, warum man da noch irgendwelche Prüfungen nach einer Unschuldvermutung anstellen muss. Wenn da dein Gerechtigkeitsempfinden gestört ist, kannst du dich ja freiwillig melden, um derart Prüfungen vorzunehmen.

Ich glaube, dass viele neu angemeldete Accounts schon gleich automatisch rausgeworfen werden, nämlich wenn sie ein Profil mit lauter Links erstellen. Die jüngste Spamwelle war wohl was die Links betrifft vorsichtig genug, um das nicht zu triggern. Ansonsten (in der Frage, ob Leute einfach so mit “kurzem Prozess” rausgeworfen werden) ist es glaub ich so, dass bei einem frisch angemeldeten Account mit 0 Edits nicht lang gefackelt wird, wenn da einer behauptet “der hat mich gespammt” dann glaubt man dem (meistens hat der Account aber eh in seinem Profil einen Sex-Link und dann ist die Sache klar). Wenn es jetzt ein länger existierender Account mit Edits wäre, würde man den natürlich nicht gleich rauswerfen, nur weil jemand behauptet, dass er Spam verschickt habe.

Auf einer Mailingliste hat neulich einer vorgeschlagen, man könnte doch eine Profil-Erstellung erst erlauben, wenn jemand auch Edits hat, aber da gibt es auch Gegenargumente dazu.

Es ist wiederum blauäugig zu glauben, dass ein Admin einfach auf die Behauptung hin: “Der spamt mich,” einfach einen Account platt macht.

Da wird mit Sicherheit geschaut, ob da entsprechende Nachrichten versendet werden, ob die Anmeldung aus einem verdächtigen Adressraum kommt und ob sonstige Spammerkmale erfüllt sind. Das sind IMHO die Prüfungen, die ein Admin macht. Jeder Admin ist schon von “berufswegen” für solche Anzeichen sensibilisiert. Dem mutmaßlichen Spamer auch noch die Möglichkeit zu geben, Stellung zu nehmen ist sogar eher kontraproduktiv. Dann weiß er, sein Spamrun war erfolgreich.

Das kannst Du getrost stecken lassen, denn das gilt nur für den strafrechtlichen Bereich. Hier sind wir im Zivilrecht und da setzt der Admin das Hausrecht des Betreibers (OSMF) durch. Ich kenn jetzt die Nutzungsbedingungen nicht auswendig, bin mir aber ziemlich sicher, das eine Spamklausel drin steht.

Ich denke es wäre sinnvoll, das Versenden von Nachrichten für neue Accounts zu begrenzen

  • nur für Accounts mit Edits
  • erst nach Ablauf eines Monats seit Anmeldung
  • solange nicht beide Bedingungen erfüllt sind sollten nur Antworten funktionieren, wenn man eine Nachricht erhalten hat

Ich habe mal meine eigenen Anfänge untersucht, es waren 4 Monate vom ersten Edit bis zur ersten Nachricht. Die Bedeutung, sofort Nachrichten versenden zu können ist IMHO sehr hoch für Spammer aber praktisch gegenstandslos für neue Mapper.

Zum Thema Captcha: Es ist nicht weiter schwer, einen eigenen Captcha selbst zu programmieren, für meine eigenen Webseiten habe ich das so gemacht. Das hat auch den Vorteil, daß das Captcha unbekannt ist und keine fertigen Angriffe darauf bereitstehen. Allerdings sollte man sein eigenes Captcha nicht Open Source stellen - damit liefert man einem Angreifer schon fast die Anleitung in die Hand, wie er es aushebeln kann. Generell bin ich aber der Meinung, daß ein Captcha der schlechtere Weg ist, da es alle legitimen Nutzer bestraft/nervt, während ein echter Neumapper die oben genannten Begrenzungen in den meisten Fällen nie bemerken würde.

Das OSMF - System ist evtl. auch schon betroffen!

Das würde vielleicht zumindest gegen reine Spammer helfen.

Das wiederum halte ich für problematisch. Ich hatte am Anfang auch Kontakt zu anderen Mappern per PN gesucht. Ob da schon ein Monat rum war, weiß ich aber nicht mehr. Eine solche Einschränkung (“Du darfst aber erst nach einem Monat mit anderen Mappern in Kontakt treten.”) schreckt vielleicht ab.

Ich wünsche es mir öfters, wenn neue Personen bei Problemen und Fragen schneller kommunizieren Wir sind doch eine Gemeinschaft. Ja, das (Hilfs-)Forum oder Mailinglisten sind dafür vorgesehen, aber eine PM hat wohl weniger Hürden. Von daher kommt mir das Mailversenden einzuschränken, aber alle anderen Möglichkeiten wie Notes und CS-Kommentare nicht, merkwürdig vor. Kommentare zu Notes kann ich z.B. nicht einmal melden und verschwinden gar nicht aus der Datenbank.

Eine Maschine kann auch einen Punkt anlegen und hat damit den ersten Edit.

Wie häufig melden sich Personen an? Wenn es richtig dargestellt wird, sollte Verständnis für ein wenig Mehraufwand und einige Minuten Zeit da sein.

Der Vorschlag, Mindestzahlen an Edits für weitere Aktivitäten vorauszusetzen, ist leider auch nicht praktikabel, da es im OSM-Ökosystem auch Menschen gibt, die nicht editieren, sondern auf andere Weise zum Projekt beitragen, und z.B. darüber Diary-Artikel schreiben möchten.

Ich würde mich dann auch nicht wundern, wenn der Spammer die benötigte Anzahl an Edits auch noch macht, und das wäre sicher unschöner für OSM.

War ja nur ein Beispiel.
Man könnte auch einen OSM-Pseudoeditor aufsetzen, wo der Neuling die Hauptstraße mit zwei Nebenstraßen richtig verbinden muss und ein Hausumriss zeichnen muss und diesen richtig taggen. Dann hat der Neuling gleich was gelernt und den Spammern kostet das einfach nur unnötig Zeit, die sie nicht haben, um noch rentabel spammen zu können. Also so eine Art Tutorial, das man nicht überwinden kann. Irgend etwas halt, das einfach nur Zeit kostet.

…Heute am Tage hatt ich auch eine… nach dem bekannten Schema. Die hat es aber nicht bis ins Mailpostfach geschaft und im PN-Bereich hatte ich die gleich gelöscht.
Mir sagt das, daß es eine Art Zwischenfilter gibt, der auch nach bestimmten Schemata und Verhaltensweisen arbeitet. Ich denke die Admins haben da schon recht potente Erkennungsroutinen, die gelegentlich mal zart nachjustiert werden…

Der beste Filter ist ja eh Brain 1.0, das eigene Hirn im Kopp.

Sven

Hatte heute auch einen Damenkontakt und entsprechend gemeldet.

Jan