List Bombing: cos’è e come evitarlo

CONDIVIDI L’ARTICOLO

Deliverability

Il mondo di magnews - 7 MIN. DI LETTURA

Aggiornato: Dicembre 2021
Lucia Mongardi

Deliverability Manager

Gli attacchi informatici a danno degli utenti o degli speditori sono sempre in agguato. Ne esistono di tanti tipi e con diversi scopi.

Oggi ti parliamo del List bombing, con l’obiettivo di metterti in guardia da questo attacco che negli ultimi anni è diventato sempre più frequente.

Tutto ciò che devi sapere:

  • List bombing, questo sconosciuto: cos’è e come funziona
  • Perché accade e quali conseguenze per le sue vittime
  • Come verificare se i tuoi form online sono oggetto di List bombing
  • Quali misure di sicurezza adottare per proteggersi
  • Aiuto, sono sotto attacco: cosa devo fare?

List bombing, questo sconosciuto: cos’è e come funziona

Il List bombing, anche conosciuto come Subscribtion bombing, è un tipo di attacco informatico causato da bot che, in modo automatizzato e fraudolento, iscrivono in uno stesso momento più indirizzi email – che possono essere legittimi, sottratti da liste pubbliche o generati in maniera casuale – su numerosi form di iscrizione o registrazione e che a loro volta generano l’invio di messaggi indesiderati (spam).

Perché accade e quali conseguenze per le sue vittime

Le motivazioni che si nascondono dietro un List bombing possono essere molteplici, così come i danni arrecati, sia a chi riceve i messaggi indesiderati generati dall’attacco, sia a chi li spedisce: 

  • Infastidire il destinatario
  • Rendere la casella di posta del destinatario inaccessibile
  • Distogliere l’attenzione del destinatario da notifiche importanti (come recupero password, transazioni bancarie, scadenza di un pagamento, etc.)
  • Diffondere spam o phishing
  • Portare avanti un attacco tipo DoS – denial of service – per prosciugare le risorse del sito web su cui è ospitato il form e renderlo così inutilizzabile
  • Compromettere la reputazione del brand proprietario del form e l’integrità del suo database clienti: l’iscrizione fraudolenta di indirizzi email e l’invio di messaggi indesiderati, può tradursi in un’alta percentuale di segnalazioni spam, hard bounce e spam trap che, oltre a danneggiare la reputazione, può portare a problemi di deliverability e complicazioni di carattere privacy
  • Danneggiare la reputazione dell’Email Service Provider che si occupa dell’invio delle email generate dalla compilazione del form: l’attacco può causare l’inserimento in Blacklist (es. Spamhaus) di alcuni suoi IP o dell’intero range dei suoi IP di invio, compromettendo così la sua capacità di inviare correttamente le email dei suoi clienti.

Come verificare se i tuoi form online sono oggetto di List bombing

Ci sono diversi segnali che possono aiutarti a capire se sei stato vittima di questo attacco:

  • Aumento anomalo ed inaspettato di nuovi iscritti rispetto al consueto
  • Numerose iscrizioni provenienti da uno stesso IP ed in un arco temporale molto breve
  • Stessi indirizzi email iscritti a più form di iscrizione o registrazione
  • Numerosi iscritti con:
    • indirizzi email di provider di posta non in linea con il tuo target. Se il tuo mercato di riferimento è italiano o europeo, gli indirizzi email dei tuoi iscritti avranno per lo più domini di provider di posta italiani o europei. Dunque, la presenza di indirizzi email con domini quali comcast.com (dominio americano), qq.com (dominio cinese) oppure .gov (agenzie governative americane) deve insospettirti
    • campi testuali (es. “nome” e/o “cognome”) che presentano sequenze di caratteri sospetti o valori ricorrenti
    • campi valorizzati erroneamente – ad esempio, campi come città, indirizzo o numero di telefono valorizzati con nomi e cognomi di persone

Quali misure di sicurezza adottare per proteggersi

CATPCHA o reCAPTCHA

Protezione più efficace per bloccare i bot.

Il CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart – è un test che serve per distinguere le compilazioni automatiche dei bot da quelle di un essere umano.

Il CAPTCHA tradizionale chiede agli utenti di identificare delle lettere o numeri che sono distorte in modo tale da rendere estremamente difficile a un bot la loro identificazione.

Per superare il test, gli utenti devono interpretare il testo distorto, digitarlo nell’apposito campo, e poi premere invio. Se le lettere e i numeri non corrispondono, gli utenti vengono sollecitati a riprovare.

Il reCAPTCHA è un servizio gratuito offerto da Google in sostituzione dei CAPTCHA tradizionali. Esistono diversi tipi di test reCAPTCHA in cui si richiede ad esempio:

  • Di riconoscere parole o testi, come il CAPTCHA tradizionale ma con la differenza che sono estratte da immagini del mondo reale
  • Di spuntare la famosa casella “I’m not a robot”
  • Di riconoscere delle immagini

Le versioni più recenti di reCAPTCHA sono, inoltre, in grado di capire se l’utente che compila un form online è un bot oppure un essere umano senza doverlo sottoporre ad un test da completare.

Se questo non accade, allora l’utente riceverà una tipica “sfida” reCAPTCHA.

Inserimento di un campo nascosto nel form

La sua compilazione è indicativa del fatto che sia stato un bot a farla e non un utente “reale”, perché al suo occhio il campo non sarebbe visibile.

Questo metodo non ti mette però al sicuro da tutti i bot, in quanto i più intelligenti non compilano i campi nascosti simulando così un comportamento umano.

Limitazioni su IP, valori e tempo di compilazione

Per individuare e bloccare delle compilazioni automatiche di bot, può essere utile impostare anche dei limiti su:

  • numero di compilazioni provenienti da uno stesso IP o sul numero di compilazioni che coinvolgono lo stesso indirizzo email.
  • tempo che l’utente impiega per compilare il modulo. Un umano impiegherà fino a un minuto per compilare un paio di campi, mentre un bot può farlo in un secondo.

E il Double Opt-In? 

Questa procedura prevede che l’utente che si è iscritto riceva sulla sua casella di posta un’email con un link univoco da cliccare per confermare la registrazione al servizio richiesto.

Implementando il Double Opt-In senza altra protezione, i tuoi form saranno comunque esposti a List bombing e a tentativi di iscrizioni illecite.

Gli utenti iscritti riceveranno email per confermare un’iscrizione o una registrazione non attesa e questo potrebbe scatenare una catena di eventi (segnalazioni spam, bounce, blacklisting) a danno della tua reputazione e di quella del server che utilizzi per spedire.

Tuttavia, la sua implementazione è ugualmente importante per difendere l’integrità del tuo database, perché non invierai email indesiderate ad utenti iscritti in modo illecito e che sarebbe difficile individuare.

Aiuto, sono sotto attacco: cosa devo fare?

Innanzitutto, niente panico!

Respira e segui questi semplicissimi step:

  • Individua il form o i form sotto attacco e il periodo di tempo dell’attacco. Il List bombing potrebbe essere in corso da giorni;
  • Metti il form offline;
  • Implementa CAPTCHA o reCAPTCHA;
  • Valuta se implementare altre delle misure di sicurezza precedentemente descritte;
  • Rimetti il form online, continuando a monitorare il flusso di iscrizioni;
  • Individua gli indirizzi email che sono stati aggiunti dal bot e rimuovili dal tuo database.

Sottovalutare il List bombing è molto pericoloso perché può danneggiare fortemente la reputazione del tuo brand, quella dell’Email Service Provider che utilizzi per spedire, causare blacklisting o complicazioni legali. Non rischiare di compromettere il tuo progetto di email marketing, affrettati a mettere in pratica i nostri consigli ?

CONDIVIDI L’ARTICOLO

SCOPRI

Altri articoli
popolari.

Email Marketing natalizio: le strategie dopo i grandi saldi

Calendario Marketing

Email Marketing natalizio: le strategie dopo i grandi saldi

In questo articolo, esploreremo le opportunità offerte da dicembre attraverso strategie di email marketing di dicembre che puoi personalizzare per massimizzare l'impatto della tua campagna.

3 MIN. LETTURA

magnews

Digital Marketing Platform

Gmail e Yahoo! definiscono nuovi requisiti per i sender: cosa fare su magnews per evitare che le tue email vengano bloccate

Il mondo di magnews

Gmail e Yahoo! definiscono nuovi requisiti per i sender: cosa fare su magnews per evitare che le tue email vengano bloccate

A partire da febbraio 2024, per garantire la corretta consegna delle tue email agli utenti Gmail e Yahoo!, dovrai adeguarti ai nuovi requisiti stabiliti da Gmail e Yahoo!... In questo articolo vediamo come farlo con magnews

8 MIN. LETTURA

magnews

Digital Marketing Platform

Gmail e Yahoo! cambiano le regole dal 2024: le tue email saranno bloccate?

Il mondo di magnews

Gmail e Yahoo! cambiano le regole dal 2024: le tue email saranno bloccate?

Gmail e Yahoo! hanno imposto nuovi requisiti ai mittenti di email per combattere lo spam e il phishing, convertendo alcune best practice in obbligatori must-have da rispettare a partire da febbraio 2024: in questo articolo ti spieghiamo tutto ciò che devi sapere per essere pronto.

9 MIN. LETTURA

Lucia Mongardi

Deliverability Manager

Identifica i lead più promettenti con Lead Scoring

Il mondo di magnews

Identifica i lead più promettenti con Lead Scoring

Immaginate di avere uno strumento che vi aiuti a concentrare gli sforzi sulle opportunità più promettenti, senza disperdere tempo ed energie su quelle invece meno pronte o meno mature. Ecco esattamente ciò che il Lead Scoring può fare per voi su magnews.

4 MIN. LETTURA

magnews

Digital Marketing Platform

Ottimizza il tuo tempo con una gestione efficace delle email multilingua

Il mondo di magnews

Ottimizza il tuo tempo con una gestione efficace delle email multilingua

In questo articolo vi presentiamo la nuova funzionalità di comunicazione multilingua, non sarai più costretto a comporre una comunicazione diversa per ogni lingua o utilizzare le condizioni di visibilità per ogni singolo elemento.

3 MIN. LETTURA

magnews

Digital Marketing Platform

Black November: 4 strategie da considerare per campagne efficaci

Il mondo di magnews

Black November: 4 strategie da considerare per campagne efficaci

Con l'arrivo di novembre, l'atmosfera festiva inizia a pervadere l'aria, aprendo le porte agli esperti di marketing verso un mese di grandi potenzialità. Nonostante il freddo inizi a farsi sentire, per gli eCommerce è un periodo "caldo". Infatti, l'intero mese, con l'avvicinarsi di eventi di sconti come il Black Friday, il Black November e il Cyber Monday, offre straordinarie opportunità per catturare l'attenzione degli eConsumer...

4 MIN. LETTURA

magnews

Digital Marketing Platform

Diventa Partner!

Creare una relazione tra le aziende e i consumatori che possa generare valore di business per entrambi in una esperienza di successo.

Stiamo creando una community che vogliamo far crescere assieme per costruire una collaborazione sempre più di valore.

Partner Program, la soluzione di magnews che consente di diventare parte di un vero knowledge hub, progettato per favorire la crescita di competenze e business.

  • Ho letto e compreso la Privacy Policy e accetto integralmente i Termini d'Uso.

Raggiungi i tuoi obiettivi di business

Scrivi ad un nostro consulente oppure richiedi una demo gratuitamente!

Richiedi una demo Scrivi ad un consulente

No grazie