List Bombing: cos’è e come evitarlo

CONDIVIDI L’ARTICOLO

Deliverability

Il mondo di magnews - 7 MIN. DI LETTURA

Aggiornato: Dicembre 2021
Lucia Mongardi

Deliverability Manager

Gli attacchi informatici a danno degli utenti o degli speditori sono sempre in agguato. Ne esistono di tanti tipi e con diversi scopi.

Oggi ti parliamo del List bombing, con l’obiettivo di metterti in guardia da questo attacco che negli ultimi anni è diventato sempre più frequente.

Tutto ciò che devi sapere:

  • List bombing, questo sconosciuto: cos’è e come funziona
  • Perché accade e quali conseguenze per le sue vittime
  • Come verificare se i tuoi form online sono oggetto di List bombing
  • Quali misure di sicurezza adottare per proteggersi
  • Aiuto, sono sotto attacco: cosa devo fare?

List bombing, questo sconosciuto: cos’è e come funziona

Il List bombing, anche conosciuto come Subscribtion bombing, è un tipo di attacco informatico causato da bot che, in modo automatizzato e fraudolento, iscrivono in uno stesso momento più indirizzi email – che possono essere legittimi, sottratti da liste pubbliche o generati in maniera casuale – su numerosi form di iscrizione o registrazione e che a loro volta generano l’invio di messaggi indesiderati (spam).

Perché accade e quali conseguenze per le sue vittime

Le motivazioni che si nascondono dietro un List bombing possono essere molteplici, così come i danni arrecati, sia a chi riceve i messaggi indesiderati generati dall’attacco, sia a chi li spedisce: 

  • Infastidire il destinatario
  • Rendere la casella di posta del destinatario inaccessibile
  • Distogliere l’attenzione del destinatario da notifiche importanti (come recupero password, transazioni bancarie, scadenza di un pagamento, etc.)
  • Diffondere spam o phishing
  • Portare avanti un attacco tipo DoS – denial of service – per prosciugare le risorse del sito web su cui è ospitato il form e renderlo così inutilizzabile
  • Compromettere la reputazione del brand proprietario del form e l’integrità del suo database clienti: l’iscrizione fraudolenta di indirizzi email e l’invio di messaggi indesiderati, può tradursi in un’alta percentuale di segnalazioni spam, hard bounce e spam trap che, oltre a danneggiare la reputazione, può portare a problemi di deliverability e complicazioni di carattere privacy
  • Danneggiare la reputazione dell’Email Service Provider che si occupa dell’invio delle email generate dalla compilazione del form: l’attacco può causare l’inserimento in Blacklist (es. Spamhaus) di alcuni suoi IP o dell’intero range dei suoi IP di invio, compromettendo così la sua capacità di inviare correttamente le email dei suoi clienti.

Come verificare se i tuoi form online sono oggetto di List bombing

Ci sono diversi segnali che possono aiutarti a capire se sei stato vittima di questo attacco:

  • Aumento anomalo ed inaspettato di nuovi iscritti rispetto al consueto
  • Numerose iscrizioni provenienti da uno stesso IP ed in un arco temporale molto breve
  • Stessi indirizzi email iscritti a più form di iscrizione o registrazione
  • Numerosi iscritti con:
    • indirizzi email di provider di posta non in linea con il tuo target. Se il tuo mercato di riferimento è italiano o europeo, gli indirizzi email dei tuoi iscritti avranno per lo più domini di provider di posta italiani o europei. Dunque, la presenza di indirizzi email con domini quali comcast.com (dominio americano), qq.com (dominio cinese) oppure .gov (agenzie governative americane) deve insospettirti
    • campi testuali (es. “nome” e/o “cognome”) che presentano sequenze di caratteri sospetti o valori ricorrenti
    • campi valorizzati erroneamente – ad esempio, campi come città, indirizzo o numero di telefono valorizzati con nomi e cognomi di persone

Quali misure di sicurezza adottare per proteggersi

CATPCHA o reCAPTCHA

Protezione più efficace per bloccare i bot.

Il CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart – è un test che serve per distinguere le compilazioni automatiche dei bot da quelle di un essere umano.

Il CAPTCHA tradizionale chiede agli utenti di identificare delle lettere o numeri che sono distorte in modo tale da rendere estremamente difficile a un bot la loro identificazione.

Per superare il test, gli utenti devono interpretare il testo distorto, digitarlo nell’apposito campo, e poi premere invio. Se le lettere e i numeri non corrispondono, gli utenti vengono sollecitati a riprovare.

Il reCAPTCHA è un servizio gratuito offerto da Google in sostituzione dei CAPTCHA tradizionali. Esistono diversi tipi di test reCAPTCHA in cui si richiede ad esempio:

  • Di riconoscere parole o testi, come il CAPTCHA tradizionale ma con la differenza che sono estratte da immagini del mondo reale
  • Di spuntare la famosa casella “I’m not a robot”
  • Di riconoscere delle immagini

Le versioni più recenti di reCAPTCHA sono, inoltre, in grado di capire se l’utente che compila un form online è un bot oppure un essere umano senza doverlo sottoporre ad un test da completare.

Se questo non accade, allora l’utente riceverà una tipica “sfida” reCAPTCHA.

Inserimento di un campo nascosto nel form

La sua compilazione è indicativa del fatto che sia stato un bot a farla e non un utente “reale”, perché al suo occhio il campo non sarebbe visibile.

Questo metodo non ti mette però al sicuro da tutti i bot, in quanto i più intelligenti non compilano i campi nascosti simulando così un comportamento umano.

Limitazioni su IP, valori e tempo di compilazione

Per individuare e bloccare delle compilazioni automatiche di bot, può essere utile impostare anche dei limiti su:

  • numero di compilazioni provenienti da uno stesso IP o sul numero di compilazioni che coinvolgono lo stesso indirizzo email.
  • tempo che l’utente impiega per compilare il modulo. Un umano impiegherà fino a un minuto per compilare un paio di campi, mentre un bot può farlo in un secondo.

E il Double Opt-In? 

Questa procedura prevede che l’utente che si è iscritto riceva sulla sua casella di posta un’email con un link univoco da cliccare per confermare la registrazione al servizio richiesto.

Implementando il Double Opt-In senza altra protezione, i tuoi form saranno comunque esposti a List bombing e a tentativi di iscrizioni illecite.

Gli utenti iscritti riceveranno email per confermare un’iscrizione o una registrazione non attesa e questo potrebbe scatenare una catena di eventi (segnalazioni spam, bounce, blacklisting) a danno della tua reputazione e di quella del server che utilizzi per spedire.

Tuttavia, la sua implementazione è ugualmente importante per difendere l’integrità del tuo database, perché non invierai email indesiderate ad utenti iscritti in modo illecito e che sarebbe difficile individuare.

Aiuto, sono sotto attacco: cosa devo fare?

Innanzitutto, niente panico!

Respira e segui questi semplicissimi step:

  • Individua il form o i form sotto attacco e il periodo di tempo dell’attacco. Il List bombing potrebbe essere in corso da giorni;
  • Metti il form offline;
  • Implementa CAPTCHA o reCAPTCHA;
  • Valuta se implementare altre delle misure di sicurezza precedentemente descritte;
  • Rimetti il form online, continuando a monitorare il flusso di iscrizioni;
  • Individua gli indirizzi email che sono stati aggiunti dal bot e rimuovili dal tuo database.

Sottovalutare il List bombing è molto pericoloso perché può danneggiare fortemente la reputazione del tuo brand, quella dell’Email Service Provider che utilizzi per spedire, causare blacklisting o complicazioni legali. Non rischiare di compromettere il tuo progetto di email marketing, affrettati a mettere in pratica i nostri consigli 😊

CONDIVIDI L’ARTICOLO

SCOPRI

Altri articoli
popolari.

L’importanza dell’open-source nella realizzazione di software entreprise

Mondo nerd

L’importanza dell’open-source nella realizzazione di software entreprise

La partecipazione delle aziende con finanziamenti e tecnologie sempre più avanzate ha contribuito alla crescita dei progetti open-source, come dimostrato dalla Apache Software Foundation, che conta oltre 350 progetti. Sorge dunque un dubbio: qual è il vantaggio nell'investire risorse, umane e monetarie, in un asset non direttamente monetizzato come un progetto open-source? Scopriamolo insieme in quest'articolo

5 MIN. LETTURA

Niccolò Maltoni

Software Engineer

Magento connector e Matilda insieme

Roadmap

Magento connector e Matilda insieme

La nuova versione 13.0 del connettore Magento si integra con la nuova interfaccia Matilda. Scopri come puoi usare i nuovi designer per le comunicazioni o i workflow che utilizzano i contenuti e i dati del tuo sito Magento.

2 MIN. LETTURA

magnews

Digital Marketing Platform

Web experience ottimizzata per Matilda

Roadmap

Web experience ottimizzata per Matilda

La web experience su Matilda sarà più semplice, usabile e orientata a sfruttare pienamente tutte le potenzialità della web personalization... scopri di più!

1 MIN. LETTURA

magnews

Digital Marketing Platform

Ecommerce e comportamenti dei clienti: l’importanza dei dati

Il mondo di magnews

Ecommerce e comportamenti dei clienti: l’importanza dei dati

Scopri come si struttura un eCommerce ed esplora le tendenze diffuse tra i clienti online: leggere i dati, interpretarli e sviluppare azioni conseguenti oggi è vitale per qualsiasi attività.

3 MIN. LETTURA

Giovanni Cappellotto

Consulente eCommerce, Marketplace & Retail, Freelance

Mondo Meta e campagne marketing: le regole d’oro di Enrico Marchetto

Il mondo di magnews

Mondo Meta e campagne marketing: le regole d’oro di Enrico Marchetto

Facebook, anzi Meta, è cambiato: ecco come impostare le campagne all’interno di questo universo per ottenere i migliori risultati.

4 MIN. LETTURA

Enrico Marchetto

Co-Founder Noiza.Com e Social Media Advertiser

Dominio mittente, dominio web, DMARC e BIMI: alla scoperta della Brand Protection

Il mondo di magnews

Dominio mittente, dominio web, DMARC e BIMI: alla scoperta della Brand Protection

Si parla molto di strategie per la costruzione dell’immagine di un brand. Ma cosa accadrebbe se questa venisse compromessa o danneggiata? Perché tu non debba scoprirlo mai, esiste la brand protection, che va ben oltre la mera difesa della proprietà intellettuale.

3 MIN. LETTURA

Lucia Mongardi

Deliverability Manager

Diventa Partner!

Creare una relazione tra le aziende e i consumatori che possa generare valore di business per entrambi in una esperienza di successo.

Stiamo creando una community che vogliamo far crescere assieme per costruire una collaborazione sempre più di valore.

Partner Program, la soluzione di magnews che consente di diventare parte di un vero knowledge hub, progettato per favorire la crescita di competenze e business.

  • Ho letto e compreso la Privacy Policy e accetto integralmente i Termini d'Uso.

Raggiungi i tuoi obiettivi di business

Scrivi ad un nostro consulente oppure richiedi una demo gratuitamente!

Richiedi una demo Scrivi ad un consulente

No grazie