ReCaptcha v2 does NOT filter out Scam Submissions (NopComm. v3.8)

8 months ago
Hello,

I have a site running NopCommerce version 3.8 and it's using ReCaptcha v2: http://malema.com/contactus But we're receiving tons scam form submissions from the Contact Us page.
The ReCaptcha challenge is working and it appears before submitting the form but there seems to be a flaw because I received tons of scam emails.

I've also enabled HoneyPot for the entire site but it has not fixed the issue at all.

Does anyone know how to fix this?
I've upgraded the site to 4.2 in my local server but it doesn't offer ReCaptcha v3, does anyone know if upgrading to 4.2 alone will solve this problem? The 4.2 site still be using ReCaptcha v2 anyway...



Here's an example of the scam emails:

From: LarryMarry - [email protected]

оговоренный период (заранее) иначе по факту поломки либо ДТП;о задержании автомобиля. В отличие через легковых автомобилей, минивэнами практически никогда не управляют любители, а заматерелый профессиональный шофер способен уберечь машину через столкновений, приводящих в полную негодность ходовую часть. Кран-манипулятор. Каждому водителю следует лучший, точно поступать в непростой ситуации. Эвакуатор в Минске выезжает только в книга случае, если диспетчер верно направил подходящую машину к конкретному клиенту. Цена услуг эвакуатора вас приятно удивит, наподобие и проворство реагирования на поступающий вызов.Плюсы дешевой буксировки
<a href=https://evakuatorr.ru/spetstekhnika.html>услуга трезвый водитель стоимость</a>
<a href=https://novosibirsk.evakuatorr.ru/mototekhnika.html>мотоэвакуация</a>
https://novosibirsk.evakuatorr.ru/mototekhnika.html - эвакуация мотоциклов новосибирск

Присутствие поломке автомобиля в дороге либо в результате ДТП его должен транспортировать предварительно ремонтного сервиса либо гаража. В этом плане полезный отличается наша компания. Требование эвакуатора в Минске – быстрое приговор сложных проблемВ случае с заблокированными колесами используются специальные подкатные тележки. Поэтому лучше не ронять зря время, и вызвать эвакуатор ради машин в Минске. Авто размещается прямо на платформе, предусмотренной конструкцией эвакуатора чтобы автомобилей.29 Май 2017
5 months ago
I don't have an answer unless you have the source code, which I think may be the only way of dealing with it. I have asked this question before and so have others but there is no solution yet found. As you know, they get through the Captcha and Honeypot.

For the Contact Us page I added some code to the ActionResult in the CommonController, and the code simply checks for two Russian letters and emails ending with .ru, and if they are found a simple "Thank you" message is returned so they might not be any the wiser. Obviously this will block almost all Russian messages.

public virtual ActionResult ContactUsSend(ContactUsModel model, bool captchaValid)
        {
            if (model.Enquiry.Contains("Д") || model.Enquiry.Contains("И") || model.Email.EndsWith(".ru"))
            {

                return Content("Thank you for your Enquiry");
            }
... rest of code in the ActionResult below here
  

I've had to do similar for sign ups and also blog posts which I want to continue to allow people to do anonymously, but my spam sign ups have been 0 since I did it and I've had one spam blog post. Before I did this I was getting several spam sign ups a day, who then spammed the forum with between 1 and 20 messages, and about 5 spam blog posts.

Sorry I can't help more than that.
4 months ago
I got the same issue. I decided to check email addresses and created own list of bad URLs.