List Bombing

  • Aktualisiert

Ihr Newsletter-Registrierungsprozess ist der Beginn Ihrer Beziehung zu Ihren Empfängern. Registrierungsformulare können jedoch von böswilligen Parteien zum Versenden von Spam durch sogenannte List-Bombing-Attacken missbraucht werden.

List Bombing als eine Form der Cyberkriminalität

List Bombing beschreibt die Praxis, Registrierungsformulare anzugreifen, indem diese gleichzeitig mit einer großen Anzahl von E-Mail-Adressen bombardiert werden. Für den Betreiber des Formulars scheint es ein Anstieg an Registrierungen zu sein, in Wirklichkeit jedoch ist es ein Cyberangriff.

Hierbei werden Bots verwendet, um unschuldige E-Mail-Adressen über nicht ausreichend gesicherte Registrierungsformulare in großen Mengen zu registrieren. Diese Registrierungen werden ermöglicht, weil in den entsprechenden Formularen keine Anti-Spam-Maßnahmen implementiert wurden und alle eingetragenen E-Mail-Adressen ohne Überprüfung akzeptiert werden. Die E-Mail-Adressen können von Bots generiert oder gesammelt worden sein, um Ihrer Versandliste und damit auch Ihnen als Unternehmen zu schaden. In diesem Fall ist selbst die Nutzung von Double Opt-In (DOI) nicht ausreichend, da allein schon das Volumen der versendeten Bestätigungs-E-Mails ausreicht, um ein erhebliches Problem zu verursachen.

Die erste List-Bombing-Attacke wurde im Jahr 2016 von Spamhaus, einer bekannten Anti-Spam-Organisation, identifiziert. Laut Spamhausregistrierte ein einziger ESP über 22.000 Registrierungen bezogen auf 3.000 verschiedene Kundendomains. Dies führte zu einem Volumen von bis weit über 100 E-Mail-Nachrichten pro Minute an einige betroffene Adressen.Außerdem wurden bei einem Unternehmen innerhalb von zwei Wochen neun einzelne E-Mail-Adressen mehr als 9.000 Mal registriert, wodurch 81.000 Bestätigungs-E-Mails versendet wurden.Dutzende von Netzwerken, einschließlich ESPs, wurden daraufhin auf der Spamhaus Block List (SBL) gelistet.

Optimizely überwacht kontinuierlich seine Versandinfrastruktur, um Sie über List-Bombing-Angriffe zu informieren und zu beraten, bevor diese sich auf Ihre Zustellbarkeit auswirken.

Bin ich von List Bombing betroffen?

Es gibt verschiedene Anzeichen, anhand derer Sie feststellen können, ob Ihre Registrierungsformulare für List Bombing missbraucht werden.

Unerwarteter Anstieg an Abonnenten

Ein plötzlicher Anstieg an neuen Registrierungen, insbesondere wenn diese nicht auf eine Marketingkampagne zurückgeführt werden können, kann auf Missbrauch des Registrierungsformulars hinweisen. Prüfen Sie Ihre Daten und versuchen Sie, E-Mail-Adressen zu identifizieren, die sich in kurzer Zeit wiederholt bei einer oder mehreren Ihrer Listen registriert haben.

Registrierungen von derselben IP-Adresse

Stellen Sie dutzende oder hunderte Registrierungen von einer einzelnen IP-Adresse fest, ist mit Sicherheit von einem Angriff auszugehen. An dieser Stelle macht es Sinn, diese IP-Adresse direkt zu blockieren und die neu registrierten E-Mail-Adressen über diese IP-Adresse aus Ihrer Datenbank zu löschen.

Hohe Bounce-Rate der Opt-In-E-Mails

Opt-In-E-Mails wie DOI-Mailings lösen hin und wieder Bounces aus, da sich Empfänger manchmal mit einer falschen E-Mail-Adresse registrieren. Sind die Bounce-Raten konstant auf einem hohen Niveau, kann davon ausgegangen werden, dass auch hier das Registrierungsformular missbraucht wird.

Registrierungen aus unerwarteten Regionen

Abhängig von der geografischen Region, in der Ihr Unternehmen tätig ist, senden Sie in der Regel an einige ISPs mehr E-Mails als an andere. Eine hohe Anzahl von Opt-In-E-Mails oder sogar Bounces dieser bei ISP-Domains, die in Ihrer Region weniger verbreitet sind, kann auf einen Missbrauch des Registrierungsformulars hinweisen.

Beispiel: Wenn Sie hauptsächlich in der DACH-Region versenden, ist ein hohes Volumen an DOI-E-Mails an russische oder chinesische Postfachanbieter oder gegebenenfalls auch globale ISPs wie AOL oder Yahoo zwar möglich, aber unwahrscheinlich und weist möglicherweise auf Missbrauch hin.

Spam-Beschwerden über DOI-Mails

Sollten Sie Spam-Beschwerden über Ihre Opt-In-Mailings erhalten, überprüfen Sie Ihre letzten Registrierungen, da Ihre Formulare möglicherweise angegriffen werden.

Gefahren von List-Bombing-Angriffen

Wenn Ihre Formulare unter List Bombing stehen, werden Ihre Daten korrumpiert. Nicht nur ungültige, sondern auch gültige E-Mail-Adressen werden betrügerisch zu Ihren E-Mail-Listen hinzugefügt, was sich negativ auf Ihre Sender Reputation und Zustellbarkeit auswirken kann.

Wie im Sender-Reputation-Guide beschrieben, sammeln ISPs Daten zu den Versandaktivitäten eines jeden Versenders und entscheiden anhand dieser Daten, wie Ihre E-Mails behandelt werden sollen. Die wichtigsten analysierten Metriken umfassen:

Bild: Metriken

Der Missbrauch von Registrierungsformularen kann zu einem unerwartet hohen E-Mail-Volumen führen. Der Versand an eine hohe Anzahl inaktiver User führt zu hohen Hard Bounces. Werden Spam-Trap-Adressen angemeldet, kann das Senden an diese zu Listings auf öffentlichen oder ISP-internen Blocklisten und im schlimmsten Fall zum Blocking aller Ihrer E-Mails führen. Zusätzlich kann der Versand an gültige E-Mail-Adressen, die von einem Spammer registriert wurden, verärgerte Empfänger, geringes User Engagement und potenzielle Spam-Beschwerden mit sich bringen.

All diese Faktoren wirken sich negativ auf Ihre Sender Reputation aus. Daher sind Maßnahmen gegen List-Bombing-Angriffe für jedes Registrierungsformular unerlässlich.

Empfohlene Schutzmaßnahmen

Haben Sie List Bombing festgestellt, stehen Ihnen mehrere Lösungsmöglichkeiten zur Verfügung. Identifizieren Sie den Zeitpunkt, an welchem der Angriff begonnen hat, und entfernen Sie alle Benutzer, die danach zu Ihrer Empfängerliste hinzugefügt wurden.Wenn Sie DOI bereits verwenden, entfernen Sie einfach neue Abonnenten, die ihre Registrierung noch nicht bestätigt haben.

Um zu verhindern, dass Registrierungen ganzer Tage oder Wochen weggeworfen werden müssen - um sicherzustellen, dass Sie wirklich alle potenziellen Schad-Adressen eines List Bombing-Angriffs entfernt haben - empfehlen wir, mindestens eine oder mehrere der folgenden Maßnahmen zum Schutz Ihrer Registrierungsformulare zu implementieren.

  • Implementieren Sie ein CAPTCHA. CAPTCHA können Registrierungen von menschlichen Wesen von automatisierten Registrierungen durch Bots unterscheiden. Es gibt eine Vielzahl von CAPTCHA-Anbietern auf dem Markt, die Lösungen anbieten, die auf unterschiedlichen Mechanismen und Konformitätsstufen basieren, z. B. mit GDPR.
  • Integrieren Sie ein Honeypot-Feld. Ein Honeypot in Registrierungsformularen ist ein zusätzliches Inhaltsfeld, das für den Menschen unsichtbar, für einen Bot jedoch nicht von anderen Feldern unterscheidbar ist. Wenn Sie feststellen, dass das Feld ausgefüllt wurde, wurde die Registrierung nicht von einem Menschen durchgeführt und der Vorgang kann sofort abgebrochen werden. Siehe Honeypots integrieren.
  • Verwenden Sie andere Feldnamen im HTML-Code. Bots suchen im Quellcode einer Website nach Textfeldern. Machen Sie es ihnen schwer und vergeben Sie Feldnamen, die vom Standard abweichen, z. B. anstelle Vorname, Nachname, E-Mail nutzen Sie First_Banana, Last_Apple, Em_Orange. Dadurch verhindern Sie, dass die Felder von Bots überhaupt gefunden werden.
  • Messen Sie die Zeit der Formularübergabe. Messen Sie die Zeit, die für das Senden von Formularen benötigt wird, indem Sie ein Feld integrieren, das einen Zeitstempel oder einen generierten Schlüssel für das Laden der Seite enthält. Ein Mensch kann einige Minuten brauchen, um ein Formular auszufüllen, ein Bot vielleicht nur eine Sekunde. Wenn eine besonders kurze Zeit festgestellt wird, unterbrechen Sie den Registrierungsprozess.
  • Ergänzen Sie IP-Rate-Limits. Arbeiten Sie mit IP-Rate-Limits in Ihrem Registrierungsformular, die verhindern, dass das selbe Formular in einem bestimmten Zeitraum mehrmals von derselben IP-Adresse übergeben wird.
  • Legen Sie zulässige Formulareingaben fest. Implementieren Sie eine Sperre für bestimmte Einträge in Ihrem Registrierungsformular, z. B. Sonderzeichen, URLs und HTML-Tags, oder bereinigen Sie regelmäßig Ihre Liste neuer Abonnenten. Spammer können URLs einfügen, die zu böswilligen oder illegalen Websites führen, welche dann möglicherweise unbeabsichtigt in Ihren E-Mails enthalten sind und von unaufmerksamen Empfängern geklickt werden.

Honeypots integrieren

Sie können Honeypot-Felder in Registrierungsformularen wie folgt integrieren:

<input type="email" name="email-confirmation-field1" class="hidden" placeholder="Ihre E-Mail-Adresse" required="required" autocomplete="off"> /* Für den Empfänger sichtbares E-Mail-Feld */

<input type="email" name="email-field1" class="required" placeholder="Ihre E-Mail-Adresse" id="required" autocomplete="off"> /* Honeypot-Feld */

<input type="text" name="birthday-field1" class="optional" autocomplete="off"> /* Honeypot-Feld */

<input type="text" name="name-field1" class="required" autocomplete="off"> /* Honeypot-Feld */

<input type="text" name="city-field1" class="optional" autocomplete="off"> /* Honeypot-Feld */

  • class="hidden". Passen Sie Ihr CSS-Stylesheet für die Registrierungsseite an, damit diese Klasse sichtbar ist.
  • autocomplete="off". Soll verhindern, dass Formularfelder automatisch ausgefüllt werden. Diese Einstellung wird jedoch nicht von allen Web-Browsern unterstützt. Vergeben Sie daher untypische Feldnamen, die vom Standard abweichen, zum Beispiel birthday-field1.
  • Passen Sie Ihr CSS-Stylesheet für die Registrierungsseite an, damit alle anderen Klassen und IDs nicht sichtbar sind. Verwenden Sie beispielsweise folgende Befehle:
    • visibilty:none;
    • display:none;
    • width:0px;
    • height:0px;