Comprendre le list bombing et comment supprimer les faux profils

Environ 7 min de lecture

Mise à jour le 3 janv. 2025, 12:14 EST

Découvrez les attaques par bombardement de listes et la manière dont vous pouvez supprimer les fausses adresses électroniques pour protéger vos listes. Les attaques par bombardement de liste remplissent votre compte de faux profils et peuvent nuire à la réputation de votre expéditeur, à vos données et à bien d'autres choses encore.

Qu'est-ce que le list bombing ?

Le bombardement de liste est une attaque malveillante par laquelle le pirate exploite un formulaire d'inscription ou une page de paiement en effectuant un grand nombre de fausses soumissions, remplissant ainsi la liste associée avec des e-mails et des numéros de téléphone qui n'ont pas donné leur consentement ou qui ne sont pas valides. Si l'augmentation du nombre d'abonnés à un service de courrier électronique peut sembler une bonne chose pour votre marque, cela n'est vrai que si tous les nouveaux clients potentiels sont légitimes.

Si vous envoyez des messages à de faux profils créés par une attaque de bombardement de liste, cela peut avoir un impact négatif sur votre délivrabilité de la manière suivante :

Taux de rebond plus élevés
Augmentation du nombre de plaintes pour spam
Des taux d'ouverture plus faibles
Impact négatif sur la réputation de l'expéditeur
Les pièges à spam potentiels
Liste de blocage potentielle entraînant un blocage du trafic de courrier électronique

Les profils soumis dans le cadre d'une attaque par bombardement de liste ne sont pas tous de fausses adresses électroniques. Des robots peuvent remplir des formulaires avec de vraies adresses électroniques, et des profils de personnes qui n'en savent rien sont ajoutés à des listes de marketing. Lorsqu'une entreprise envoie des courriers électroniques à un grand nombre de profils soumis par des robots, nombre d'entre eux marquent le courrier électronique comme étant du spam.

Il s'agit là de quelques-uns des formulaires les plus couramment ciblés par les robots. Gardez à l'esprit qu'il ne s'agit pas d'une liste exhaustive ; les robots peuvent soumettre des profils partout où il existe un formulaire non protégé :

e-commerce page de commande
Des bots ont été observés, en particulier pour les clients utilisant une plate-forme de commerce électronique (telle que Shopify). Les robots peuvent démarrer une page de commande et l'abandonner en utilisant l'adresse électronique d'une personne réelle, et l'événement sera synchronisé sur Klaviyo.
Formulaire de bas de page
Les formulaires de bas de page d'une page d'accueil qui recueillent des adresses électroniques et aucune autre information ont été une cible spécifique des robots pour l'inscription au courrier électronique.
Codes de réduction ("$$OFF" ou "%OFF") sur la page d'accueil.
Les robots ciblent ces formulaires spécifiquement pour obtenir des codes de réduction qu'ils placent ensuite sur des sites de codes de réduction ou de promotion afin d'attirer des visiteurs sur ces pages.
Formulaires sans captcha
Les formulaires sans captchas sont susceptibles d'être remplis par des robots.
API
Bots soumis par des formulaires tiers et synchronisés avec Klaviyo via notre API publique.

Comment identifier un attentat à la bombe

Le premier indicateur de bombardement de liste est l'augmentation soudaine du nombre de nouveaux abonnés. C'est particulièrement vrai si vous n'avez pas planifié de campagne de croissance de votre liste, et que vous n'avez donc pas de raison de lier ce pic à votre activité. Si c'est le cas, examinez les derniers abonnés au courrier électronique, en recherchant les tendances suivantes :

Les e-mails sont tous arrivés par un point d'entrée unique (par exemple, le même formulaire d'inscription).
L'afflux de courriers électroniques a été saisi dans un délai précis
Tous les e-mails proviennent du même domaine (par exemple, tous proviennent de @phish.com).
Les contacts ont des noms et prénoms non conventionnels
Toutes les soumissions proviennent de la même source IP

Comment vous protégez-vous contre le list-bombing ?

CAPTCHA dans les formulaires

Le CAPTCHA est un outil qui demande aux personnes qui soumettent un formulaire d'effectuer une courte tâche pour vérifier qu'il s'agit bien d'une personne réelle et non d'un robot. Lorsque Klaviyo détecte un comportement suspect ou une activité historique d'un bot à partir de l'adresse IP d'un utilisateur, ce dernier est invité à résoudre un CAPTCHA.

Exemple de reCAPTCHA

Cette fonctionnalité est automatiquement activée pour les formulaires qui recueillent des adresses e-mail ou SMS, ou qui utilisent un code de réduction. En outre, seuls les utilisateurs ayant eu une activité suspecte seront invités à remplir le CAPTCHA.

L'utilisateur doit compléter avec succès le CAPTCHA afin de voir son code de réduction et de soumettre le formulaire.

Double opt-in

Le double opt-in est un processus par lequel un nouvel abonné doit confirmer son inscription avant d'être inscrit sur une liste donnée. Elle est la même pour les abonnés aux e-mails et aux SMS, et est activée par défaut dans Klaviyo.

Lorsque le double opt-in est activé, les nouveaux abonnés recevront un message de confirmation immédiatement après leur inscription. Ce message les invitera à confirmer leur inscription. Seuls les abonnés qui confirment leur inscription seront ajoutés à la liste, ce qui rendra plus difficile l'inscription de bombes par des acteurs malveillants.

Liste des bombardements Gestion des IP

Klaviyo a mis en place un système de prévention du list bombing appelé List Bombing IP Management. L'objectif de ce système est de signaler ou de bloquer des adresses IP spécifiques qui effectuent un grand nombre de soumissions de formulaires ou d'appels à l'API dans un court laps de temps. Si vous êtes victime d'un bombardement de listes, ce système bloquera les adresses IP ayant reçu un grand nombre de demandes d'abonnement initiales afin de protéger votre compte contre d'autres abonnements à des profils.

Notez que le blocage de l'IP n'intervient qu'après le début de l'attaque afin de protéger votre compte contre d'autres dommages. Cette méthode d'atténuation des bombardements de listes ne peut pas empêcher complètement une attaque.

Champ du formulaire Honeypot

Cette méthode nécessite un développeur et un accès au code HTML du formulaire. Si vos formulaires sont construits à l'aide de l'éditeur de formulaires de Klaviyo, envisagez de créer un formulaire personnalisé.

L'ajout d'un champ "pot de miel" au formulaire d'un site web est une méthode que vous pouvez mettre en œuvre pour identifier facilement si vous êtes victime d'un bombardement de listes. Si vous utilisez un formulaire personnalisé qui n'est pas de Klaviyo, vous pouvez placer un champ caché qui est invisible sur le front-end. Si le formulaire est soumis avec une valeur définie pour le champ "honeypot", vous pouvez attribuer la soumission à un robot plutôt qu'à un utilisateur humain.

Assurez-vous que votre pot de miel ajoute à Klaviyo une propriété personnalisée que vous n'avez pas l'intention d'utiliser ailleurs. Cela vous permet d'utiliser la propriété personnalisée du champ honeypot pour identifier les profils soumis par un bot avec la segmentation dans Klaviyo :

Exemple de segment de pot de miel

Pour savoir comment créer un champ de miel, nous vous recommandons de lire la ressource suivante :

Comment créer un Honeypot simple pour protéger vos formulaires contre les spammeurs

Que faire en cas de bombardement de liste ?

Si vous êtes victime de list bombing, la prochaine chose à faire est de nettoyer les profils qui ont été créés. Sur la base des tendances que vous observez avec les nouveaux abonnements, prenez les points de données et créez un segment pour aider à rassembler tous les e-mails qui ont été soumis pendant l'attaque.

Un segment que vous pouvez utiliser pour identifier les profils susceptibles d'être soumis dans le cadre d'une tentative de bombardement de liste est le suivant :

Si une personne peut ou ne peut pas recevoir de marketing > La personne peut recevoir du marketing par courrier électronique
ET
Ce que quelqu'un a fait > La personne a reçu un courriel au moins trois fois au cours des 180 derniers jours.
ET
Ce qu'une personne a fait > La personne a ouvert un e-mail 0 fois pendant toute la durée de l'opération.
ET
Ce que quelqu'un a fait > La personne a cliqué 0 fois sur Email pendant toute la durée de l'opération
ET
Ce que quelqu'un a fait > La personne a passé commande 0 fois sur toute la durée de l'opération

Une fois le segment créé, supprimez les profils afin qu'ils ne puissent pas recevoir d'envois de votre part.

Si vous avez des questions sur la création d'un segment qui capture les profils créés par une attaque de bombardement de listes, contactez notre équipe d'assistance.

Si vous avez été victime d'une attaque par bombardement de liste, la meilleure pratique consiste à réactiver le double opt-in sur vos listes. Une fois qu'une marque a été ciblée, il est plus probable qu'elle soit à nouveau ciblée à l'avenir. En sécurisant vos formulaires par le double opt-in, vous pouvez prévenir les attaques futures.

Ressources complémentaires

Cet article vous a-t-il été utile ?

Utilisez ce formulaire uniquement pour nous faire part de vos commentaires sur cet article. Comment contacter l’assistance.

Explorer d’autres contenus Klaviyo

Communauté

Contactez des membres de votre secteur, des partenaires et des experts Klaviyo pour trouver de l’inspiration, partager des informations et obtenir des réponses à toutes vos questions.

Découvrez la Communauté

Formation en direct

Participez à une session en direct avec des experts Klaviyo pour découvrir les bonnes pratiques, apprendre à configurer des fonctionnalités clés et bien plus encore.

S’inscrire

Assistance

Accédez à l’assistance par l’intermédiaire de votre compte.

Assistance par e-mail (essai gratuit et comptes payants) Disponible 24 h/24, 7 j/7

Assistance par chat/virtuelle
La disponibilité varie selon la localisation et le type d’abonnement.

Se connecter