List Bombing – Storia e Prevenzione

Negli ultimi anni si è verificato un significativo aumento degli attacchi bot sulle liste email delle aziende, includendo alcune nuove tendenze rispetto al vecchio modello di hacking.

Gli attacchi bot alle liste email solitamente fino ad ora targettizzavano un’azienda. Un bot veniva puntato sul format di iscrizione di un’azienda per generare migliaia e migliaia di indirizzi email falsi per riempire le liste dell’azienda con dati danneggianti.

L’invio di email ad un grande numero di indirizzi fasulli (specialmente se questi erano alcuni dei maggiori ISPS, ad esempio: bogus1@gmail.com) poteva danneggiare gli invii, causando un picco di indirizzi sconosciuti che avrebbe portato al filtering.

Questi attacchi tendevano ad essere regolarmente semplicistici e gli indirizzi fasulli erano facilmente riconoscibili scorrendo una lsita di iscrizioni discutibili. Questi consistevano solitamente in una stringa di lettere random oppure di numeri e lettere che tendevano ad incrementare e generalmente spiccavano in comparazione agli indirizzi legittimi.

1212967@gmail.com

121873@gmail.com

g205072@gmail.com

Nel caso in cui fossero necessarie delle informazioni aggiuntive per inviare il modulo, (Nome/Cognome) si potrebbe solitamente identificare un bot anche da questi campi. Il campo nome sarebbe infatti riempito con stringhe di lettere random.

Un’altro modo per identificare gli indirizzi bot sarebbe quello di controllare l’indirizzo IP da cui è arrivata l’iscrizione. Se si notano centinaia o migliara di multipli di iscrizioni provenienti da un singolo indirizzo IP, si può intuire di essere stati targetizzati da un bot.

I bot sono diventati più soffisticati nel tempo, sia utilizzando generatori di indirizzi email più “verosimiglianti” e sia randomizzando gli IP utilizzati per le iscrizioni, ma queste erano i picchi massimi di perfezionamento a cui le cose erano arrivate.

List Bombing

Un nuovo tipo di attacco è apparso con una frequenza in aumento, un attacco conosciuto come “list bombing”. Si differisce da un attacco bot tradizionale per il fatto che invece di targettizzare un’azienda, viene targettizzato un subscriber.

Il list bombing consiste nell’iscrivere indirizzi legittimi a centinaia o persino migliaia di differenti mailing list, creando ciò che ammonta ad un attacco DDOS della inbox dell’utente.

Questi attacchi utilizzano programmi di posta aziendali legittimi per rendere inutilizzabile la casella di posta di un individuo. In questi casi, partono potenzialmente nuovi messaggi ogni 2-3 secondi, non dando modo quindi all’utente di filtrare la casella postale per trovare l’email che sta cercando.

Dal punto di vista aziendale, questi tipi di attacchi possono essere molto più complicati da identificare dato che, diversamente dagli attacchi bot tradizionali, almeno che un particolare bot non iscriva un grande numero di indirizzi tutti insieme o in un breve periodo, tutti dallo stesso IP, questi indirizzi sono legittimi e non spiccherebbero in una lista di iscrizioni recenti come in passato facevano quelli fasulli. Inoltre, dato che sono veri indirizzi funzionanti, non fanno nemmeno bounce.

Il vostro programma di posta potressere essere stato dirottato e portato ad iinfastidire la gente e voi potreste non esserne nemmeno a conoscenza.

Inizialmente, questi tipi di attacchi venivano usati contro diversi sistemi governativi, nel tempo hanno targettiizzato anche membri specifici della community anti-spam ma anche altri.

Tutto questo ha portato Spamhaus a cominciare ad elencare gli indirizzi IP delle aziende i cui moduli venivano usati come mezzi per questi attacchi. Perciò, aziende totalmente legittime venivano all’improvviso colpite le più grosse blackilist, per lo più senza avviso.

Gli hacker cominciarono persino a vendere il list bombing come forma di servizio. Si poteva andare su un sito e pagare 75$ per avere un particolare indirizzo email targhetizato con il list bombing.

Ovviamente, nessuno vuole avere il proprio programma di mail sottoposto a tutti questi maneggi, quindi cosa si può fare al riguardo?

I Captcha

In termini di prevenzione, posizionare un captcha sul proprio modulo di iscrizione è il modo migliore per scoraggiare gli attacchi bot:

Esistono diversi tipi di differenti captcha, alcuni richiedono che si clicchi su delle immagini, che si digitino le parole/numeri da un set di immagini sfocate oppure di risolvere un certo tipo di semplice equazione matematica:

Un captcha funziona con l’assunzione che i bot non saranno in grado di leggere un’immagine o di risolvere un’equazione nel modo in cui un vero essere umano farebbe. Ad ogni modo, questi captcha possono essere molto laboriosi per chi si iscrive (difficili da leggere, complicati, ecc.), motivo per cui non tutte le aziende scelglievano di ultizzarli in passato.

L’ultimo esempio, la checkbox con “I am not a robot” mostra quanto si siano spinti lontano i captcha negli anni.

Di questo tipo è il “NoCaptcha ReCaptcha” che dalla prospettiva di chi si iscrive richiede solamente che si clicchi sulla checkbox ed ha questa stessa funzione di scoraggiare i bot dall’iscrizione.

Double Opt-in

Impostare il doppio opt-it (DOI) è un altro step che si può fare per mitigare gli attacchi bot ed il list bombing.

Il DOI innesca un’email di conferma all’indirizzo dopo l’iscrizione, chiedendo all’utente di confermare che intendeva ricevere posta da voi. Se l’utente clicca il link di conferma nell’email viene aggiunto alle vostre liste, se non lo fa, allora gli verrà sospeso il procedimento.

In questo modo, sia che qualcuno scriva male il proprio indirizzo email o che un bot vi prenda come target, i recipienti indesiderati riceveranno solamente quel messaggio iniziale da voi, almeno che gli utenti non facciano il passo successivo di verifica dell’iscrizione.

Mentre il DOI di per sé non bloccherà un bot dal targetizzarvi per attaccare dei poveri indirizzi innocenti (centinaia o migliaia di email di conferma ancora causano gli stessi problemi, tanti quanti i messagi regolari per l’utente finale e la sua inbox), aiuterà però a garantire che questi indirizzi attaccati non arrivino alle vostre liste principali.

In questo modo, viene minimizzato l’impatto a lungo termine di un attacco sia su di voi che sul target inteso. In più, la DOI vene considerata una best practice per mantenere l’igiene delle iscrizioni ed è  il perfetto standard per dimostrare un esplicito consenso alla luce del GDPR e delle future regolazioni. Anche se qualcuno dovesse inserie l’indirizzo sbagliato, la DOI mostra che stiano facendo passi dinamici e concreti per evitare l’invio di spam.

Tu

Dato che i captcha sono diventati più user friendly e gli attacchi bot sono aumentati, non c’è realmente un motivo per non implementarne uno e proteggere i propri moduli di iscrizione e le mailing list alla base.

Impostando i captcha su tutti i vostri moduli di iscrizione, prima che diventiate un target o che veniate usati per targetizzare qualcun’altro, potete scampare un blacklisting così come salvarvi i mal di testa e le ore di lavoro spese scavando nelle liste per trovare quando un attacco è cominciato, per quanto tempo sia continuato, ecc.

In più, può aiutarvi anche a non perdere delle iscrizioni legittime, dato che molte volte i clienti riscontrano di aver bisogno di sprecare giorni e settimane intere di iscrizioni solo per assicurarsi di aver realmente spazzato via i dati cattivi dalla finestra di un attacco. (Avere il DOI elimina la dolorosa parte dell’essere utilizzati per  i list bombing)

Certamente, raccomandiamo di impostare sia i camptcha che il DOI per portare il vostro programma email il più possibile vicino alla migliore protezione possibile.

Non aspettate, agite ora!