MainMaの回答に追加...
スパマーは他の人をだましてCAPTCHAを実行させます
基本的に、スパマーはCAPTCHAを含むように見えるウェアーズサイトまたはポルノサイトを設定しますが、実際のCAPTCHAではありません。ボットは、スパム(またはエクスプロイト)したいサイトからCAPTCHAを引き出し、それをウェアーズサイトまたはポルノサイトに表示します。次に、CAPTCHA値がボットに渡されます...
スパマーについてもう少し
reCAPTCHAを使用しますが、基本的には価値がないことがわかりました。また、reCAPTCHAを過ぎたスパムをキャッチするカスタムスパムフィルターを使用し、数日ごとに誤検知を確認する必要があります。
私のフォーラムもすべてカスタムで作成されており、トラフィックはほとんどありません。私のサイトへの特定の攻撃を誰かがコーディングしたとは思わない。それでも、私のスパムフィルターは1日2kのスパムメッセージをキャッチします!サイトには何も表示されません。スパマーは、私にスパムを送信してもメリットはありませんが、それでも有効です。
すべてをログに記録しているため、スパム行為のパターンを確認できます。CAPTCHAを通り抜ける方法は別として、スパマーは明らかに、ブルートフォーステクニックを使用して、入力されるフィールドと、それらのフィールドに入力されるデータとワードミックスの種類を変えています。どうやら彼らはこれを非常に安く(CAPTCHAのバイパスを含む)行っているので、個々のサイトの分析を行っても、彼らがやっていることが機能しているかどうかを確認する費用はかかりません。
毎年、彼らは私のサイトを1日に数千のスパムメッセージで標的にし続け、毎月1通のスパムメッセージを取得し、そのメッセージは1日後に手動で削除されます。スパムはとても安いです!
これは今後数年間の戦いになるでしょう。特に私のような小さな一人のモデレーターサイトの場合。
編集6/22/2017:この投稿googleがreCAPTCHAを完全に刷新して以来、この記事の執筆時点で問題なく機能していることを付け加えます。私はそれを実装してから投稿が少し落ちたので、ユーザーに少しの誤検出や痛みがあると思うが。2つの大きな変更点は
1)彼らはテキストの代わりに画像を使用している(だからOCRはもうない)
2)彼らはそれをreCAPTCHAを使用するすべてのサイトのユーザーアクティビティと組み合わせています。そのため、サイトAのreCAPTCHAを通過してからサイトBに移動しても、あなたが人間であることを証明するよう促されることはありません!また、あまりにも多くのサイトであまりにも多くのreCAPTCHAをヒットしている場合は、同様にフラグを立てます。ユーザーのアクティビティに基づいて、他の種類のAIも使用していると確信しています。
スパマーがこれを打ち負かすまで、それは時間の問題だと確信しています...