Vos données sont importantes, et les maintenir en sécurité, structurées et propres représente un travail ardu au quotidien. Même avec les meilleures pratiques en matière de données, il existe des menaces externes qui peuvent affecter votre programme et faire échouer les meilleures intentions de tout spécialiste du marketing.

Présentation : Bombardement de listes

Le bombardement de listes est simplement défini comme une attaque contre vos données qui implique généralement des pirates informatiques exploitant des formulaires en ligne vulnérables pour semer votre liste avec de mauvaises données. L’intention de ce type d’attaque est de charger votre liste avec des adresses e-mail spécifiques qui, une fois utilisées, inonderont le serveur de messagerie d’une cible avec des e-mails indésirables.

Cela peut :

– Ralentir un serveur (voire le faire planter !)

– Inonder la boîte de réception des destinataires

– Perturber les activités commerciales

La délivrabilité de l’expéditeur peut être affectée négativement par ce type d’action en raison du déclenchement de systèmes anti-spam qui bloqueront et signaleront à leur tour votre domaine et votre adresse IP d’envoi aux listes noires, aux rapports d’abus et même aux plaintes pour abus de fichiers contre votre domaine. Votre fournisseur de services de messagerie peut également vous empêcher d’envoyer des messages jusqu’à ce que le problème soit résolu.

Ironiquement, une attaque de bombardement de listes n’est souvent pas détectée par les spécialistes du marketing. Pour le spécialiste du marketing, cela peut en fait ressembler à un pic soudain d’abonnements de 5 000, 12 000, voire 20 000 abonnés et être perçu comme une bonne chose alors qu’en fait, quelque chose de plus nébuleux se produit. Un pic soudain et inattendu d’abonnés peut être un signal d’alarme !

Comment prévenir le bombardement de listes en 5 étapes faciles :

Heureusement, ce type d’attaque est généralement évitable. L’application des étapes préventives et des meilleures pratiques suivantes peut vous aider à vous assurer que vos données restent propres et à éviter les maux de tête qu’une telle exploitation peut causer.

Étape 1 : Vos formulaires sont-ils tous comptabilisés et sont-ils tous sécurisés ?

La façon la plus simple pour les pirates informatiques de bombarder votre liste est via un formulaire en ligne non sécurisé. Lorsque les pirates informatiques trouvent un formulaire non sécurisé, ils considèrent cela comme une porte ouverte pour charger votre liste avec de mauvaises données. Grâce à des outils d’automatisation et de script, ils peuvent remplir et soumettre des formulaires à votre liste à un rythme élevé.

Commencez par faire l’inventaire de tous les formulaires d’inscription qui sont connectés à votre liste, soit sur votre site, soit sur des sites externes. Les sites externes pourraient inclure ce « concours d’inscription » qui a duré 3 mois l’année dernière. Le formulaire du site du concours a-t-il été correctement mis hors ligne ?

Une fois que vous avez identifié et comptabilisé tous les formulaires d’inscription, vous pouvez passer à l’étape 2.

Étape 2 : Sécurisez TOUS vos formulaires avec des CAPTCHA

L’une des meilleures façons d’empêcher les robots et les attaques de scripts de bombarder votre liste est d’utiliser des captchas. Ils sont rentables et très faciles à mettre en œuvre.

Les captchas ont parcouru un long chemin depuis l’époque des mots déformés, des panneaux de signalisation et des chiffres que nous devions déchiffrer dans le passé. Le reCaptcha invisible de Google n’est même pas affiché, ce qui simplifie l’expérience utilisateur. Il existe de nombreux excellents articles sur la façon de mettre cela en œuvre correctement.

Assurez-vous que chaque formulaire d’inscription que vous avez en place est protégé contre les robots avec un captcha. Cela fait partie de la solution et n’est pas infaillible ! Il y a eu des cas d’attaquants, organisés en grands groupes, utilisant des « humains » pour faire le bombardement, un par un sur un formulaire sécurisé par Captcha.

Étape 3 : Utilisez un service de validation d’e-mail en temps réel dans vos formulaires

De nombreux services de validation de listes offrent une vérification en temps réel via une API. Bien que cela ne soit pas infaillible (les pirates informatiques peuvent avoir des listes composées d’e-mails légitimes), cela permettra de s’assurer que les e-mails non valides ne pénètrent pas dans votre liste. Il fonctionne en temps réel et, selon la façon dont il est configuré, pourrait en fait aider vos clients à s’assurer qu’ils saisissent correctement leur adresse e-mail.

Cette étape contribue également à votre stratégie d’acquisition de données globale en garantissant que les données de votre liste sont nettoyées en amont.

Étape 4 : Utilisez le double opt-in

Un double opt-in consiste à envoyer un e-mail de confirmation au nouveau destinataire qui doit confirmer qu’il est le propriétaire réel de l’e-mail (ou du numéro de téléphone pour la messagerie texte SMS) qui s’est inscrit.

Le double opt-in a souvent vu certains détracteurs affirmer qu’il pourrait dissuader les inscriptions à leur liste. Le fait est que les destinataires qui sont validés à l’aide d’un double opt-in ont tendance à être engagés à un taux plus élevé avec votre programme et cet engagement peut vous aider à améliorer votre délivrabilité.

L’étape du double opt-in, combinée aux autres méthodes, vous aidera à vous assurer que votre réputation n’est pas affectée par une attaque de bombardement de listes.

Aller plus loin en ajoutant des automatisations de parcours client peut aller au-delà d’un simple double opt-in et créer des flux d’intégration convaincants pour établir des liens encore plus forts avec vos clients.

Étape 5 : Gardez un œil sur la croissance de votre liste

À moins que vous ne meniez une campagne d’acquisition agressive. La croissance de votre liste devrait être relativement stable. Si vous constatez une croissance mensuelle de 5 % et que vous remarquez soudainement un pic important sans raison, il vaut la peine de prendre le temps d’enquêter sur la source de ce pic.

La recherche de grappes dans la date de création de l’enregistrement et la source de l’inscription devrait vous indiquer la bonne direction quant à la provenance du pic.

Qu’en est-il des numéros de téléphone mobile pour la messagerie texte ?

Si vous utilisez la messagerie texte SMS comme canal dans votre programme, vous pouvez également être une cible pour une attaque de bombardement de listes. Les étapes 1, 2, 4 et 5 ci-dessus s’appliquent également pour s’assurer que vos données sont propres.

L’utilisation d’un service de validation comme indiqué à l’étape 3 peut être une étape intéressante. Vous devrez vérifier localement pour voir si ce service est disponible pour vous, car les services de validation de numéros de téléphone ne sont pas disponibles partout. Si vous prévoyez d’utiliser la messagerie texte SMS pour communiquer avec vos clients, il devrait être prioritaire de vérifier si la validation du numéro de téléphone est disponible pour vous.

Oups, j’ai bombardé ma propre liste !

Le bombardement de listes involontaire se produit. « Hé, regardez, nous avons trouvé une liste de 50 000 destinataires sur une clé USB d’un concours que nous avons organisé il y a 2 ans ! ». Une mauvaise manipulation de liste (généralement un téléchargement manuel de liste) ou un segment non testé peut soudainement vous faire envoyer beaucoup d’e-mails indésirables, causant ainsi de graves problèmes de délivrabilité.

Cela peut arriver aux meilleurs d’entre nous et c’est pourquoi l’étape 5 est si importante. Être vigilant et rigoureux peut éviter beaucoup de problèmes.

Nous avons été bombardés, que devons-nous faire maintenant ?

La première étape consiste à trouver et à neutraliser les mauvaises données. Il est généralement facile de repérer les données suspectes, car les dates de création des adresses ou des numéros de bombardement de listes se produiront dans un court laps de temps. Une fois identifiées, signalez les données et supprimez-les de votre liste. Conservez une copie des mauvaises données sous la main au cas où elles seraient nécessaires pour d’autres enquêtes.

Contactez votre fournisseur de services de messagerie (s’il ne vous contacte pas déjà). Ceci est important car cela aidera tout le monde à comprendre ce qui s’est passé et à prendre des mesures préventives.

Si votre réputation d’envoi a été affectée, votre fournisseur de services peut vous aider en surveillant de près vos données d’envoi et en vous aidant à prendre des mesures pour résoudre les listes noires et les blocages.

Trouvez et fermez la source de l’attaque. Ne donnez pas l’occasion aux pirates informatiques de recommencer.

Dois-je contacter tous les destinataires concernés ? À ce stade, comme il ne s’agit pas d’une « violation de données », car les données de votre client n’ont pas été violées. Il n’y a aucune obligation de communiquer qu’une attaque de bombardement de listes s’est produite à vos destinataires. L’envoi d’un deuxième message à tous vos destinataires pourrait en fait aggraver vos problèmes de délivrabilité.

En conclusion :

À mesure que les FAI, les systèmes anti-spam et les points d’extrémité de capture de données s’améliorent (comme recommandé ci-dessus), nous sommes susceptibles de voir de moins en moins de ces types d’attaques à l’avenir. Cela ne signifie pas que nous devrions baisser notre garde.

Être vigilant et se tenir au courant des meilleures pratiques est la meilleure façon d’éviter une attaque de bombardement de listes.

Comme le dit le vieil adage : Mieux vaut prévenir que guérir. -Benjamin Franklin (Ou pour nos amis métriques 28,35 grammes de prévention valent 453,59 grammes de guérison)