Entendendo o bombardeio de listas e como remover perfis falsos

Você vai aprender 

Saiba mais sobre ataques de bombardeio de listas e como o senhor pode remover endereços de e-mail falsos para proteger suas listas. Os ataques de bombardeio de listas enchem sua conta com perfis falsos e podem prejudicar a reputação do remetente, os dados e muito mais. 

O que é bombardeio de listas?

O bombardeio de listas é um ataque mal-intencionado em que o invasor explora um formulário de inscrição ou uma página de checkout fazendo um grande número de envios falsos, preenchendo a lista associada com e-mails e números de telefone que não consentiram ou são inválidos. Embora um aumento no número de assinantes de e-mail possa inicialmente parecer uma coisa boa para sua marca, isso só é verdade se todos os novos leads forem legítimos.

Se o senhor enviar para perfis falsos criados por meio de um ataque de bombardeio de lista, isso poderá afetar negativamente sua capacidade de entrega das seguintes maneiras: 

• Taxas de rejeição mais altas
• Mais reclamações de spam
• Menores taxas de abertura
• Impacto negativo na reputação do remetente
• Possíveis ocorrências de armadilhas de spam 
• Possível lista de bloqueio resultando em tráfego de e-mail bloqueado

Nem todos os perfis enviados como parte de um ataque de bombardeio de listas são endereços de e-mail falsos. Os bots podem preencher formulários com endereços de e-mail reais, e perfis de pessoas que não têm conhecimento disso estão sendo adicionados a listas de marketing. Quando uma empresa envia e-mails para grandes quantidades de perfis enviados por bots, muitos deles marcam o e-mail como spam. 

Esses são alguns dos formulários mais comumente visados pelos bots. Lembre-se de que essa não é uma lista completa; os bots podem enviar perfis em qualquer lugar em que haja um formulário desprotegido:

• comércio eletrônico finalização de compra
  Bots foram observados, especialmente para clientes que usam uma plataforma de comércio eletrônico (como Shopify). Os bots podem iniciar uma finalização de compra e abandoná-la usando o e-mail de uma pessoa real, e o evento será sincronizado com Klaviyo.
• Formulário de rodapé da página inicial
  Os formulários de rodapé em uma página inicial que coletam endereços de e-mail e nenhuma outra informação têm sido um alvo específico dos bots para cadastrar e-mails.
• Códigos de cupom ("$$OFF" ou "%OFF") na página inicial
  Os bots direcionam esses formulários especificamente para obter códigos de cupom que, posteriormente, colocam em sites de cupons/códigos promocionais para direcionar as visitas do site para essas páginas.
• Formulários sem captcha
  Os formulários sem captchas são suscetíveis ao preenchimento por bots.
• API
  Bots enviados por formulários de terceiros e sincronizados com a Klaviyo por meio de nossa API pública.

Como identificar um ataque de bombardeio de lista 

O primeiro indicador de bombardeio da lista é se o senhor tiver um pico repentino de novos assinantes. Isso é particularmente verdadeiro se o senhor não tiver planejado nenhuma campanha de crescimento de lista, portanto, não há nada a que vincular esse pico. Se isso acontecer, examine os assinantes de e-mail recentes, observando as seguintes tendências: 

• Todos os e-mails foram recebidos por meio de um único ponto de entrada (por exemplo, o mesmo formulário de inscrição)
• Houve um período de tempo específico em que o fluxo de e-mails foi capturado 
• Todos os e-mails são do mesmo domínio (por exemplo, todos são de @phish.com)
• Os contatos têm nomes e sobrenomes não convencionais
• Todos os envios são da mesma fonte de IP

Como o senhor se protege contra o bombardeio de listas?

CAPTCHA em formulários

O CAPTCHA é uma ferramenta que exige que os remetentes de formulários concluam uma tarefa curta para verificar se são pessoas reais e não um bot. Quando a Klaviyo detecta um comportamento suspeito ou um histórico de atividade de bot do endereço IP de um usuário, ele será solicitado a resolver um CAPTCHA.

Essa funcionalidade é ativada automaticamente para formulários que coletam leads de e-mail ou SMS, ou que utilizam um código cupom. Além disso, somente os usuários que tiveram atividades suspeitas serão solicitados a preencher o CAPTCHA. 

Duplo opt-in 

Double opt-in é um processo pelo qual um novo assinante deve confirmar sua assinatura antes de ser inscrito em uma determinada lista. Ele é o mesmo para assinantes de e-mail e SMS e é ativado por padrão no Klaviyo.

Quando o double opt-in estiver ativado, os novos assinantes receberão uma mensagem de confirmação imediatamente após a inscrição. Essa mensagem solicitará que o usuário confirme sua assinatura. Somente os assinantes que confirmarem sua assinatura serão adicionados com êxito à lista, o que dificulta a ação de agentes mal-intencionados. 

Gerenciamento de IPs de bombardeio de listas

A Klaviyo tem um sistema para evitar o bombardeio de listas chamado List Bombing IP Management. O objetivo desse sistema é sinalizar ou bloquear endereços IP específicos que estejam fazendo um grande número de envios de formulários ou assinando chamadas de API em um curto período de tempo. Se o senhor estiver sendo bombardeado por uma lista, esse sistema bloqueará os endereços IP com um grande número de solicitações de assinatura inicial para proteger sua conta de outras assinaturas de perfil. 

Observe que o bloqueio de IP ocorre somente depois que o ataque já começou, para proteger sua conta de mais danos. Esse método de atenuação de bombardeio de listas não pode impedir totalmente um ataque.

Campo de formulário Honeypot

Adicionar um campo "honeypot" ao formulário de um site é um método que pode ser implementado para identificar facilmente se o usuário está sendo bombardeado por listas. Se o senhor estiver usando um formulário personalizado que não seja da Klaviyo, poderá colocar um campo oculto que seja invisível no front-end. Se o formulário for enviado com um valor definido para o campo honeypot, o senhor poderá atribuir o envio a um bot em vez de um usuário humano. 

Certifique-se de que seu honeypot adicione uma propriedade personalizada ao Klaviyo que o senhor não planeja usar em nenhum outro lugar. Isso permite que o senhor use a propriedade personalizada do campo honeypot para identificar perfis enviados por um bot com segmentação no Klaviyo: 

Para obter instruções sobre como criar um campo de honeypot, recomendamos a leitura do seguinte recurso:

• Como criar um Honeypot simples para proteger seus formulários contra spammers

O que fazer se o senhor tiver um bombardeio de lista 

Se o senhor tiver um bombardeio de listas, a próxima coisa que deve fazer é limpar os perfis que foram criados. Com base nas tendências que o senhor observar com as novas assinaturas, pegue os pontos de dados e crie um segmento para ajudar a extrair todos os e-mails que foram enviados durante o ataque. 

Um segmento que o senhor pode usar para identificar perfis que provavelmente foram enviados como parte de uma tentativa de bombardeio de lista é:

• Se alguém pode ou não receber marketing > A pessoa pode receber e-mail marketing
  E
• O que alguém fez > A pessoa recebeu o e-mail é pelo menos 3 nos últimos 180 dias
  E
• O que alguém fez > A pessoa abriu o e-mail 0 vezes durante todo o tempo
  E
• O que alguém fez > A pessoa clicou em E-mail 0 vezes durante todo o tempo
  E
• O que alguém fez > A pessoa fez um pedido 0 vezes ao longo de todo o tempo

Depois que o segmento for criado, suprima os perfis para que eles não possam receber nenhum envio do senhor. 

Também é uma prática recomendada reativar o double opt-in em suas listas caso o senhor tenha sido vítima de um ataque de bombardeio de listas. Uma vez que uma marca tenha sido alvo, é mais provável que ela seja alvo novamente no futuro. Ao proteger seus formulários por meio de double opt-in, o senhor pode evitar futuros ataques.

Recursos adicionais 

• Guia para limpeza de listas
• Introdução aos segmentos
• Como entender a capacidade de entrega de e-mails