List Bombing: cos’è e come evitarlo

CONDIVIDI L’ARTICOLO

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Deliverability

Il mondo di magnews - 7 MIN. DI LETTURA

Aggiornato: Dicembre 2021
Lucia Mongardi

Deliverability Manager

Gli attacchi informatici a danno degli utenti o degli speditori sono sempre in agguato. Ne esistono di tanti tipi e con diversi scopi.

Oggi ti parliamo del List bombing, con l’obiettivo di metterti in guardia da questo attacco che negli ultimi anni è diventato sempre più frequente.

Tutto ciò che devi sapere:

  • List bombing, questo sconosciuto: cos’è e come funziona
  • Perché accade e quali conseguenze per le sue vittime
  • Come verificare se i tuoi form online sono oggetto di List bombing
  • Quali misure di sicurezza adottare per proteggersi
  • Aiuto, sono sotto attacco: cosa devo fare?

List bombing, questo sconosciuto: cos’è e come funziona

Il List bombing, anche conosciuto come Subscribtion bombing, è un tipo di attacco informatico causato da bot che, in modo automatizzato e fraudolento, iscrivono in uno stesso momento più indirizzi email – che possono essere legittimi, sottratti da liste pubbliche o generati in maniera casuale – su numerosi form di iscrizione o registrazione e che a loro volta generano l’invio di messaggi indesiderati (spam).

Perché accade e quali conseguenze per le sue vittime

Le motivazioni che si nascondono dietro un List bombing possono essere molteplici, così come i danni arrecati, sia a chi riceve i messaggi indesiderati generati dall’attacco, sia a chi li spedisce: 

  • Infastidire il destinatario
  • Rendere la casella di posta del destinatario inaccessibile
  • Distogliere l’attenzione del destinatario da notifiche importanti (come recupero password, transazioni bancarie, scadenza di un pagamento, etc.)
  • Diffondere spam o phishing
  • Portare avanti un attacco tipo DoS – denial of service – per prosciugare le risorse del sito web su cui è ospitato il form e renderlo così inutilizzabile
  • Compromettere la reputazione del brand proprietario del form e l’integrità del suo database clienti: l’iscrizione fraudolenta di indirizzi email e l’invio di messaggi indesiderati, può tradursi in un’alta percentuale di segnalazioni spam, hard bounce e spam trap che, oltre a danneggiare la reputazione, può portare a problemi di deliverability e complicazioni di carattere privacy
  • Danneggiare la reputazione dell’Email Service Provider che si occupa dell’invio delle email generate dalla compilazione del form: l’attacco può causare l’inserimento in Blacklist (es. Spamhaus) di alcuni suoi IP o dell’intero range dei suoi IP di invio, compromettendo così la sua capacità di inviare correttamente le email dei suoi clienti.

Come verificare se i tuoi form online sono oggetto di List bombing

Ci sono diversi segnali che possono aiutarti a capire se sei stato vittima di questo attacco:

  • Aumento anomalo ed inaspettato di nuovi iscritti rispetto al consueto
  • Numerose iscrizioni provenienti da uno stesso IP ed in un arco temporale molto breve
  • Stessi indirizzi email iscritti a più form di iscrizione o registrazione
  • Numerosi iscritti con:
    • indirizzi email di provider di posta non in linea con il tuo target. Se il tuo mercato di riferimento è italiano o europeo, gli indirizzi email dei tuoi iscritti avranno per lo più domini di provider di posta italiani o europei. Dunque, la presenza di indirizzi email con domini quali comcast.com (dominio americano), qq.com (dominio cinese) oppure .gov (agenzie governative americane) deve insospettirti
    • campi testuali (es. “nome” e/o “cognome”) che presentano sequenze di caratteri sospetti o valori ricorrenti
    • campi valorizzati erroneamente – ad esempio, campi come città, indirizzo o numero di telefono valorizzati con nomi e cognomi di persone

Quali misure di sicurezza adottare per proteggersi

CATPCHA o reCAPTCHA

Protezione più efficace per bloccare i bot.

Il CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart – è un test che serve per distinguere le compilazioni automatiche dei bot da quelle di un essere umano.

Il CAPTCHA tradizionale chiede agli utenti di identificare delle lettere o numeri che sono distorte in modo tale da rendere estremamente difficile a un bot la loro identificazione.

Per superare il test, gli utenti devono interpretare il testo distorto, digitarlo nell’apposito campo, e poi premere invio. Se le lettere e i numeri non corrispondono, gli utenti vengono sollecitati a riprovare.

Il reCAPTCHA è un servizio gratuito offerto da Google in sostituzione dei CAPTCHA tradizionali. Esistono diversi tipi di test reCAPTCHA in cui si richiede ad esempio:

  • Di riconoscere parole o testi, come il CAPTCHA tradizionale ma con la differenza che sono estratte da immagini del mondo reale
  • Di spuntare la famosa casella “I’m not a robot”
  • Di riconoscere delle immagini

Le versioni più recenti di reCAPTCHA sono, inoltre, in grado di capire se l’utente che compila un form online è un bot oppure un essere umano senza doverlo sottoporre ad un test da completare.

Se questo non accade, allora l’utente riceverà una tipica “sfida” reCAPTCHA.

Inserimento di un campo nascosto nel form

La sua compilazione è indicativa del fatto che sia stato un bot a farla e non un utente “reale”, perché al suo occhio il campo non sarebbe visibile.

Questo metodo non ti mette però al sicuro da tutti i bot, in quanto i più intelligenti non compilano i campi nascosti simulando così un comportamento umano.

Limitazioni su IP, valori e tempo di compilazione

Per individuare e bloccare delle compilazioni automatiche di bot, può essere utile impostare anche dei limiti su:

  • numero di compilazioni provenienti da uno stesso IP o sul numero di compilazioni che coinvolgono lo stesso indirizzo email.
  • tempo che l’utente impiega per compilare il modulo. Un umano impiegherà fino a un minuto per compilare un paio di campi, mentre un bot può farlo in un secondo.

E il Double Opt-In? 

Questa procedura prevede che l’utente che si è iscritto riceva sulla sua casella di posta un’email con un link univoco da cliccare per confermare la registrazione al servizio richiesto.

Implementando il Double Opt-In senza altra protezione, i tuoi form saranno comunque esposti a List bombing e a tentativi di iscrizioni illecite.

Gli utenti iscritti riceveranno email per confermare un’iscrizione o una registrazione non attesa e questo potrebbe scatenare una catena di eventi (segnalazioni spam, bounce, blacklisting) a danno della tua reputazione e di quella del server che utilizzi per spedire.

Tuttavia, la sua implementazione è ugualmente importante per difendere l’integrità del tuo database, perché non invierai email indesiderate ad utenti iscritti in modo illecito e che sarebbe difficile individuare.

Aiuto, sono sotto attacco: cosa devo fare?

Innanzitutto, niente panico!

Respira e segui questi semplicissimi step:

  • Individua il form o i form sotto attacco e il periodo di tempo dell’attacco. Il List bombing potrebbe essere in corso da giorni;
  • Metti il form offline;
  • Implementa CAPTCHA o reCAPTCHA;
  • Valuta se implementare altre delle misure di sicurezza precedentemente descritte;
  • Rimetti il form online, continuando a monitorare il flusso di iscrizioni;
  • Individua gli indirizzi email che sono stati aggiunti dal bot e rimuovili dal tuo database.

Sottovalutare il List bombing è molto pericoloso perché può danneggiare fortemente la reputazione del tuo brand, quella dell’Email Service Provider che utilizzi per spedire, causare blacklisting o complicazioni legali. Non rischiare di compromettere il tuo progetto di email marketing, affrettati a mettere in pratica i nostri consigli 😊

CONDIVIDI L’ARTICOLO

Condividi su facebook
Condividi su twitter
Condividi su linkedin

SCOPRI

Altri articoli
popolari.

Happy Data Protection Day!

Il mondo di magnews

Happy Data Protection Day!

La Giornata della protezione dei dati personali, istituita nel 2006 dal Consiglio d’Europa, si pone l’obiettivo di sensibilizzare cittadini, istituzioni pubbliche, enti di ricerca e aziende rispetto al tema della protezione dei dati personali.

6 MIN. LETTURA

Valentina Zecchi

DPO

Effetti speciali

50 anni di email

Effetti speciali

Eccoci arrivati alla fine di questo percorso e di questo anno impegnativo. Pensare all’email come a qualcosa di attuale ed efficace, ci proietta inevitabilmente verso un futuro ricco di grandi aspettative. A parte alcune evoluzioni e mutamenti che le hanno permesso di sopravvivere nella feroce giungla digitale, quando pensiamo ad un’email bella e innovativa, cosa […]

2 MIN. LETTURA

Fabio Masini

CTO

Email Sicure

50 anni di email

Email Sicure

Appena trascorso il mese dedicato alla Computer Security, non possiamo non parlare di sicurezza e in generale adeguatezza dell’email rispetto al mondo digitale in cui viviamo. Nello specifico parleremo di Cybersecurity, che pur essendo un sottoinsieme degli aspetti generali della sicurezza, comprende al proprio interno aspetti sia tecnologici che giuridici.

4 MIN. LETTURA

Fabio Masini

CTO

Apple Mail Privacy Protection loves magnews back

Il mondo di magnews

Apple Mail Privacy Protection loves magnews back

Il 20 settembre 2021 Apple ha rilasciato iOS 15. Da quel momento in avanti, le aperture provenienti dall’applicazione Apple Mail non possono più essere considerate attendibili. Magnews ha deciso di adottare un approccio cautelativo e conteggia come aperture solo quelle affidabili.

7 MIN. LETTURA

Fabien Brouillaud

Chief Product Officer

Feedback Loop Telecom Italia: online il monitoraggio su magnews

News

Feedback Loop Telecom Italia: online il monitoraggio su magnews

Siamo lieti di annunciarvi che dal 24 novembre 2021 magnews è iscritto anche al Feedback Loop di Telecom Italia. Cosa significa? Che ora possiamo individuare anche i contatti Telecom Italia che segnalano come spam un'email e impedire che ne ricevano altre indesiderate.

3 MIN. LETTURA

Lucia Mongardi

Deliverability Manager

Pronto per il GDPR? Scopri il nuovo Consent Tracker, la soluzione per tracciare i consensi dei contatti in magnews

Il mondo di magnews

Pronto per il GDPR? Scopri il nuovo Consent Tracker, la soluzione per tracciare i consensi dei contatti in magnews

Mancano poco più di due mesi alla definitiva applicazione del Regolamento (UE) 679/2016, anche noto con l’acronimo inglese “GDPR” (i.e. General Data Protection Regulation).

7 MIN. LETTURA

magnews

Digital Marketing Platform

Diventa Partner!

Creare una relazione tra le aziende e i consumatori che possa generare valore di business per entrambi in una esperienza di successo.

Stiamo creando una community che vogliamo far crescere assieme per costruire una collaborazione sempre più di valore.

Partner Program, la soluzione di magnews che consente di diventare parte di un vero knowledge hub, progettato per favorire la crescita di competenze e business.

  • Ho letto e compreso la Privacy Policy e accetto integralmente i Termini d'Uso.

Raggiungi i tuoi obiettivi di business

Scrivi ad un nostro consulente oppure richiedi una demo gratuitamente!

Richiedi una demo Scrivi ad un consulente

No grazie