Pourquoi les «Registration-bots» existent-ils? Que gagnent-ils à s'inscrire sur mon site?

14

Je suis curieux car j'ai développé des procédures anti-bot pour un site Web, uniquement parce que je vois d'autres le faire. Mais pourquoi?. Que gagnent les bots à enregistrer des centaines de comptes? Je crée un site Web de commerce électronique et la seule chose que les utilisateurs enregistrés peuvent faire est de faire des achats. Dois-je réellement perdre mon temps à créer une procédure anti-bot (captcha / vérification par e-mail, etc.)

J'ai googlé ceci mais je peux trouver la réponse. Je sais que les bots qui s'inscrivent sur les forums peuvent le spammer avec des publicités, mais qu'en est-il des sites qui ne permettent pas à un utilisateur de «communiquer» avec qui que ce soit?

CuriousOne
la source

Réponses:

8

Oui, les faux comptes sont mauvais pour votre site. Ils pourraient nuire considérablement à la réputation de votre site.

  1. Lors de leur inscription, votre site envoie probablement un e-mail à une mauvaise adresse ou à une adresse appartenant à une personne qui ne s'est pas inscrite sur votre site. Cela vous fait ressembler à un possible spammeur.

  2. Ils pourraient utiliser les comptes pour dégrader les performances de votre site (c'est l'un des plus préoccupants car s'ils le déclenchaient à l'aide de techniques automatisées, il serait très difficile de s'arrêter sans gêner vos vrais utilisateurs)

  3. Ils pourraient utiliser les faux comptes pour fausser vos mesures de performances dans des domaines tels que les paniers abandonnés par les clients, etc.

  4. Ils pourraient abuser de fonctionnalités telles que parrainer un ami et envoyer des listes de souhaits à d'autres adresses e-mail qui marqueront ensuite vos e-mails comme spam (si vous en avez).

  5. Lorsque vous allez envoyer une newsletter à une date ultérieure, votre liste peut être remplie de mauvaises adresses.

Vous devez également considérer les choses qu'ils pourraient faire et qui ne peuvent être anticipées.

JMC
la source
# 1 Je ne comprenais pas très bien, en ce moment, il est donc demandé à un utilisateur enregistré de vérifier son adresse e-mail. Peux-tu élaborer? # 2 et # 3 Cependant, cela semble être une excellente raison pour implémenter cela. Je n'ai jamais pensé à ça !. Excellent point à la fin aussi. Excellente réponse, merci
CuriousOne
En fait, je pense que j'ai mal compris # 1, maintenant je le comprends comme si un bot entre des adresses e-mail authentiques d'autres utilisateurs, est-ce correct
CuriousOne
Sur # 1, deux choses, si votre site envoie fréquemment des e-mails à des comptes Gmail inexistants (par exemple), Gmail peut choisir de simplement jeter tous les e-mails que vous envoyez dans le dossier spam. Cela nuirait à vos utilisateurs légitimes de Gmail. Supposons que le bot ait créé un véritable compte Gmail, mais pas à quelqu'un qui s'est réellement enregistré, cette personne peut alors marquer l'e-mail d'enregistrement de votre part comme spam, et votre réputation avec Gmail diminue.
JMC
2
Pour autant que je sache, cette réponse n'aborde pas réellement le "pourquoi", qui, je crois, est la partie principale de la question
Jason Swett
7

Lorsque le mot de passe d'un compte en ligne est compromis, les pirates signent parfois la victime pour des comptes sur une tonne d'autres services en ligne. Ils espèrent que leurs activités néfastes réelles seront perdues dans le flot d'e-mails de confirmation. Mailchimp dit ceci sur le sujet:

Parfois, lorsqu'un agresseur tente de reprendre un compte, il inscrit sa cible pour plusieurs listes de diffusion à la fois. Ils espèrent que tous les nouveaux e-mails dans la boîte de réception de la cible les submergeront et les détourneront des activités malveillantes.

Dima Bekerman a écrit un compte rendu direct de ce à quoi cela ressemble. J'ai inclus les parties les plus pertinentes ci-dessous, mais l'ensemble du message est intéressant et mérite vraiment d'être lu.

Je n'ai remarqué que quelque chose d'étrange quand j'ai ouvert Gmail un soir et trouvé des centaines de confirmations d'inscription à de nombreux services dont je n'avais jamais entendu parler. De plus, je recevais un e-mail similaire toutes les quelques secondes.

Lorsque la plupart du bruit a été dissipé, j'ai trouvé un e-mail Amazon caché parmi les déchets. Il m'a informé que mon achat - celui que je n'avais pas fait - serait livré dans les 24 heures.

Diagramme de l'attaque

Si votre site Web envoie un e-mail de bienvenue à de nouveaux comptes (et il devrait probablement le faire), il doit empêcher les bots de s'inscrire. Sinon, vous pourriez contribuer à un déluge de boîtes de réception.

Des conseils préventifs de Dima:

  • Filtrer les robots d'enregistrement - Cette astuce est destinée aux propriétaires de sites. Le filtrage des bots d'enregistrement peut aider à prévenir l'attaque décrite ici, tout en bloquant un nombre illimité d'abonnements bidons à votre service. Cela peut être réalisé en implémentant Captcha dans le cadre de votre processus d'enregistrement.
Michael - Où est Clay Shirky
la source