web-dev-qa-db-fra.com

Pourquoi les "Registration-bots" existent-ils? Que gagnent-ils en s'inscrivant sur mon site?

Je suis curieux de développer des procédures anti-bot pour un site Web, uniquement parce que je vois que d'autres le font. Mais pourquoi?. Qu'est-ce que les robots gagnent à enregistrer des centaines de comptes? Je construis un site Web de commerce électronique et la seule chose que les utilisateurs enregistrés peuvent faire est de faire des achats. Devrais-je perdre mon temps à créer une procédure anti-bot (vérification captcha/email, etc.)

J'ai googlé cela mais je peux trouver la réponse. Je sais que les bots qui s'inscrivent sur des forums sont en mesure de le spammer avec des publicités, mais qu'en est-il des sites qui ne permettent pas à un utilisateur de "communiquer" avec qui que ce soit?

12
CuriousOne

Oui, les faux comptes sont mauvais pour votre site. Ils pourraient nuire considérablement à la réputation de votre site.

  1. Lors de son inscription, votre site envoie probablement un courrier électronique à une adresse incorrecte ou à une adresse appartenant à quelqu'un qui ne s'est pas enregistré sur votre site. Cela vous fait ressembler à un spammeur possible.

  2. Ils pourraient utiliser les comptes pour dégrader les performances de votre site (c’est l’un des plus inquiétants, car s’ils déclenchaient cette opération à l’aide de techniques automatisées, il serait très difficile de s’arrêter sans gêner vos vrais utilisateurs).

  3. Ils pourraient utiliser les faux comptes pour biaiser vos indicateurs de performance dans des domaines tels que les paniers abandonnés par les clients, etc.

  4. Ils pourraient abuser de fonctionnalités telles que renvoyer un ami et envoyer des listes de souhaits à d'autres adresses électroniques qui marqueront ensuite vos e-mails en tant que spams (si vous en avez).

  5. Lorsque vous allez envoyer une newsletter ultérieurement, votre liste peut être remplie d'adresses incorrectes.

Vous devez également tenir compte des choses qu’ils pourraient faire et qui ne peuvent être anticipés.

5
JMC

Lorsque le mot de passe d'un compte en ligne est compromis, les pirates informatiques engagent parfois la victime pour des comptes sur une tonne d'autres services en ligne. Ils espèrent que leurs activités néfastes se perdent dans le flot de courriels de confirmation. Mailchimp dit ceci sur le sujet:

Parfois, lorsqu'un abuseur tente de reprendre un compte, il engage sa cible pour plusieurs listes de courrier électronique à la fois. Ils espèrent que tous les nouveaux courriels contenus dans la boîte de réception de la cible les submergeront et les détourneront des activités malveillantes.

Dima Bekerman a écrit n récit de première main à quoi cela ressemble. J'ai inclus les parties les plus pertinentes ci-dessous, mais l'ensemble du post est intéressant et mérite certainement une lecture.

J’ai seulement remarqué qu’il était étrange que j’aie ouvert Gmail une nuit et que j’ai trouvé des centaines de confirmations d’enregistrement auprès de nombreux services dont je n’avais jamais entendu parler. De plus, je recevais un courriel similaire toutes les quelques secondes.

Une fois que tout le bruit avait été dissipé, j'ai trouvé un email Amazon caché parmi les fichiers indésirables. Il m’a informé que mon achat - celui que j’avais pas fait - serait livré dans les 24 heures.

Diagram of the attack

Si votre site Web envoie un e-mail de "bienvenue" à de nouveaux comptes (et il devrait probablement le faire), il doit empêcher les robots de s'inscrire. Sinon, vous pourriez contribuer à une inondation dans votre boîte de réception.

Des conseils préventifs de Dima:

  • Filtrer les robots d'enregistrement - Ce conseil est destiné aux propriétaires de sites. Filtrer les robots d'enregistrement peut aider à empêcher l'attaque décrite ici, tout en bloquant un nombre illimité d'abonnements factices à votre service. Ceci peut être réalisé en implémentant Captcha dans le cadre de votre processus d'inscription.
6
Michael