-

Subscription bombing: beveilig je online formulieren en voorkom schade

Subscription bombing is een fenomeen dat steeds vaker voorkomt en iedere organisatie die op haar website met formulieren werkt, kan hier slachtoffer van worden. 

Bij subscription bombing ontvangt een slachtoffer binnen een paar uur tienduizenden e-mails in de inbox, maar ook je organisatie en je Email Service Provider lijden onbedoeld schade. Wat is subscription bombing, wat is de schade voor je organisatie en hoe kun je deze voorkomen/beperken?

Subscription bombing is een spam-methode die reguliere spambestrijding omzeilt en misbruik maakt van een legitieme infrastructuur met een gevestigde reputatie. Malafide scripts van spammers speuren daarvoor het web af, op zoek naar onveilige formulieren op websites.

Waarom is subscription bombing succesvol? 

Formulieren activeren meestal transactionele e-mails. Dit zijn e-mails met een niet commercieel doeleinde, bijvoorbeeld meldingen over aanmelding, instellings-wijzigingen, aankopen, facturen etcetera.

Deze hebben vaak een betere reputatie, worden met een hogere prioriteit verzonden en hebben daardoor een betere kans om in de inbox van de ontvanger te belanden. 

Kort gezegd wordt subscription bombing uitgevoerd om de volgende redenen:

  • Als afleiding voor een hackpoging: door de e-mailbom wordt het slachtoffer afgeleid van belangrijke e-mails (facturen, wijzigingen van instellingen etcetera) waardoor hackers aankopen kunnen doen of vrij spel hebben voor andere frauduleuze zaken
  • Uit wraak: om iemand lastig te vallen, voor de lol of om andere kwaadaardige redenen.
  • Voor het verzenden van spam: Velden op je formulier kunnen worden gevuld met spam-teksten en phishing-websites, waarna deze onbedoeld worden gebruikt om je (automatische) e-mails te personaliseren.
Drie partijen het slachtoffer

Naast de consument, worden ook organisaties en ESP’s vaak hard geraakt. Als je als organisatie je formulieren op de website niet goed genoeg beveiligd hebt, kun je onbedoeld één of meerdere van deze duizenden e-mails verzenden. 

Dit kan imago- en reputatieschade opleveren, voor zowel de ESP als de organisatie die de e-mail verzendt. Hieronder licht ik verder toe hoe dit zit.

Hoe herken je subscription bombing als organisatie?

Als organisatie krijg je ineens veel ‘valse’ aanmeldingen binnen voor je (e-mail) marketing automation-lijsten. Deze zijn vaak op niet-reguliere tijdstippen binnengekomen en zijn van een andere categorie dan de e-mailadressen die zich normaal aanmelden (bijv. com). Ook worden er veel plotselinge automatische verzendingen gedaan.

Welke schade loopt mijn organisatie op?

Subscription bombing kent verschillende types schade voor je organisatie:

  • Mislopen van leads/prospects: je loopt mogelijk leads/prospects mis doordat je formulieren tijdelijk offline gehaald dienen te worden en bezoekers je website verlaten
  • Imagoschade: ontvangers worden lastigvallen met ongewenste (opt-in) e-mails van je organisatie en dat komt je naam niet ten goede.
  • Reputatieschade: omdat je veel (opt-in) e-mails verzendt die niet verzonden hadden mogen worden, krijg je te maken met hard bounces, unsubscribes, spam trap hits en spamklachten. 

Als je verzonden e-mails als spam worden aangemerkt, kan dit flinke reputatieschade opleveren voor je verzendende domein én het domein van je ESP (E-mail Service Provider) als geheel. Daardoor beland je een volgende keer ook eerder in de spamfolder.

Let wel: óók als de e-mail niet als spam wordt aangemerkt door de ontvanger, loop je reputatieschade op. Als je veel e-mails verzendt die nooit geopend worden, word je door grote e-mailclients als Gmail of Outlook namelijk eerder gezien als minder betrouwbaar dan domeinen van waaruit e-mails verzonden worden die wél geopend worden. In het ergste geval kun je zelfs geblokkeerd worden.

Hoe voorkom je schade door subscription bombing?

Je kunt schade door subscription bombing op verschillende manieren voorkomen:

  • Beveilig je formulieren met een reCAPTCHA.
  • Plaats het formulier op een andere link dan op de homepage; formulieren worden meestal getarget via de homepage en zijn minder snel vindbaar op een andere link. Zet als alternatief eventueel een Landingspagina met een formulier in
  • Voeg een (extra) hidden field toe. Een hidden field is een onder water-veld dat onzichtbaar is voor een mens. Als dit veld tóch is ingevuld, is het aannemelijk dat er een spambot actief is geweest.
  • Dubbele opt-in: heb je e-mailflows ingesteld? Zorg er dan voor dat je werkt met een double opt-in. Omdat de ontvanger eerst moet bevestigen dat hij/zij zich voor deze mail-lijst heeft aangemeld (en hij/zij dit bij subscription bombing niet doet), voorkom je dat er automatisch vervolg-e-mails verzonden worden naar het slachtoffer als een bevestiging uitblijft. 

Hier zitten wel een paar haken en ogen aan. Zo biedt een dubbele opt-in geen volledige veiligheid. Als je dubbele opt-in in het geval van subscription bombing als spam wordt aangemerkt, kan dit alsnog reputatieschade opleveren.

Ook biedt dubbele opt-in het slachtoffer geen enkele bescherming tegen subscription bombing, juist omdat de bevestigings-e-mails onderdeel uitmaken van het bombardement. 

Wat moet je doen als je formulieren misbruikt zijn door spammers?

Schakel je E-mail Service Provider (ESP) in en start met het (opnieuw) beveiligen van je formulieren. Na subscription bombing je eventueel de volgende acties uitvoeren:

  • De inschrijvings-plug-in op non-actief zetten;
  • Flows en automation pauzeren;
  • Onmiddellijk nep-adressen uit je database verwijderen. Wees hierbij niet te voorzichtig en verwijder beter te veel adressen, dan te weinig. Het domein (bijv.com) of de tijd van inschrijving geeft vaak een goede indicatie van wat nep is. Domeinen uit Amerika komen meestal niet voorbij bij een organisatie die in het Nederlands mailt. 
  • Vragen je formulier met een reCAPTCHA te beveiligen.

Pas als je je database hebt opgeschoond en je formulieren hebt beveiligd, kun je weer starten met het verzenden van je e-mail(flows) en ben je beschermd tegen mogelijke toekomstige subscription bombs.

Wat als mijn eigen zakelijke e-mailadres gebombardeerd wordt?

Nu we het onderwerp toch uitdiepen, vertel ik je graag ook nog even wat je kunt doen als je zélf het slachtoffer bent van subscription bombing.

Als organisatie werk je waarschijnlijk met een ervaren IT-specialist/medewerker(s), die zorgen dat je beschermd bent tegen spam en malware. IT-specialisten werken vaak met grote e-mailclients als Exchange en Gmail, die een groot aantal versleutelings-opties bieden. 

Door MFA (Multi Factor Authentication) wordt er soms nog een extra stap toegevoegd aan het inloggen (bijv. een sms’je met een code) en ben je nog beter beschermd.

Als je zakelijke e-mailadres gebombardeerd wordt, zal de IT-afdeling van je organisatie onmiddellijk actie ondernemen. Blijf in ieder geval regelmatig je wachtwoorden vernieuwen en kies een sterk “niet regulier” wachtwoord.

Wat als mijn privé-adres gebombardeerd wordt?

Ben je via je privé-mailadres slachtoffer van subscription bombing? Verwijder dan niet meteen alle e-mails, maar bekijk eerst rustig welke verdachte activiteiten je ziet.

Daarna kun je het volgende doen:

  • Benader je belangrijke contacten in en geef aan dat je niet bereikbaar bent via je gebombardeerde mailadres.
  • Voorkom toegang tot persoonlijke gegevens via niet-versleutelde of openbare wifi.
  • Log in op accounts van webshops waar je vaak bestelt, verwijder onmiddellijk je betalingsmethodes, check eventuele gearchiveerde bestellingen en neem contact op met de klantenservice.
  • Neem contact op met je bank om verdachte afschrijvingen en betalingen te checken en passen te blokkeren.
  • Beheer je een website? Neem dan contact op met je hosting-provider. Wijzig ook hier je wachtwoorden en stel eventueel MFA in.
  • Zoek op internet naar je e-mailadres en kijk of het voorkomt op lijsten waarvoor je je niet hebt ingeschreven. Vraag de desbetreffende organisatie je gegevens te verwijderen. Dit is een tijdrovende klus, maar een waardevolle stap.
  • Neem altijd contact op met je e-mailprovider en stel filters (“rules”) in om je inbox op te schonen en het kaf van het koren te scheiden.

Let wel: het advies is om je e-mailaccount niet te verwijderen. Controle krijgen over je e-mailadres is wat hackers willen en door het te verwijderen, sta je hen toe dat doel te bereiken.

Uiteindelijk zul je subscription bombing als privépersoon moeten doorstaan en hopen dat het stopt. Het kan een dag duren, maar ook een week/weken. De hacker krijgt uiteindelijk zijn/haar zin óf beseft dat er maatregelen zijn genomen, waarna er een makkelijker doelwit wordt gezocht. Geef je dus niet zomaar gewonnen.

Over de auteur: Sean Barten is client service manager bij Webpower.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

5 Reacties

Abel

In plaats van reCaptcha (meehelpen aan AI-programma’s van google) kan ik hcaptcha.com aanraden 🙂

bert

GEEN RECAPTCHA. Dat is evil!
Ten eerste voldoe je niet meer aan de AVG. Recaptcha is alleen door te komen door in te loggen bij Google, en dus Google als derde partij binnen te hengelen in het contactproces. Zonder aanmelding of lange termijn trackingcookies van Google (mensen die bij afsluiten browser cookies wissen zijn de sjaak) kun je contact vergeten. Recaptcha sluit dus veel klanten uit en is illegaal!

bert

Overigens nog een stap om te volgen: neem juist eigen email domeinen. Gooi je gmail en hotmail de deur uit. Google is er JUIST op uit om zoveel mogelijk volk aan de gmail te krijgen, en eigen domeinen worden steeds vaker standaard als spam-adres aangemerkt. Op een eigen domein ben je verlost uit de wurggreep van de moraalpolitie van Google, en komt gewoon alles door. Het lijkt dan misschien of je meer spam krijgt, maar ik kan heel eenvoudig iedere gare webshop een eigen mailforward geven, en bij de sites die enkel replies accepteren vanaf het mailadres dat je bij hun hebt opgegeven zoals ebay, kun je in de mailclient van een eigen domein vaak ook met een paar klikken een reply-identeit aanmaken.
We moeten collectief Google stoppen met het pushen van al hun stiekeme volgen van webverkeer met hun fantasiefabriek voor webstandaarden: webfonts, jquery, AMP, maps api, recaptcha, angular, webp: allemaal op eerste gezicht goede bedoelingen, maar op de achtergrond allemaal achterdeurtjes naar Google.

Sean Barten - Webpower

Hi Bert,

Ik ben het met je eens dat door de uitspraak met betrekking tot de EU-US Privacy Shield afspraken, het delen van data met Google (reCaptcha) in een ander licht is komen te staan, maar de uitspraak dat het gebruik van reCaptcha illegaal is laat ik liever aan juristen over.

De reden dat ik hier reCaptcha in dit stuk benoem, is dat het van belang is dat bedrijven formulieren beter beveiligen. Dat kan via reCaptcha of door alternatieven zoals bijvoorbeeld door Abel aangedragen, maar bij de term reCaptcha weet elke marketeer wat we bedoelen.

Overigens eens met je tweede reactie dat het gebruiken van eigen domein, indien je weet hoe je deze goed inricht en beschermt, voordelen heeft ten aanzien van een gratis e-mailadres. Want we kennen allemaal de uitdrukking “als iets gratis is, ben jij het product”

martijn

Ik ben het eens met Bert, men kan altijd nog zelf een website ontwerpen en men hoeft alle diensten en standaarden van google niet te gebruiken; zo voorkom je eenheidsworst en dat google nog machtiger wordt. Wat gebeurt er als je het niet gebruikt? Wordt je dan gedagvaard? Onee, wacht…. Dan wordt je niet opgenomen in de search results van google; beetje gevaarlijke ontwikkeling! Je wordt dus subtiel gedwongen het wel te doen want anders loopt je misschien wel inkomsten mis… Waar ken ik dit “model” toch van?

Ook jammer dat je tegenwoordig de ene na de andere wordpress template website ziet; ik herken het in een oogopslag. Maar dat is een andere discussie!

Wie heeft eigenlijk ooit gezegd en bepaald “dat het zo moet”? Je mag het helemaal zelf weten! Dus omdat een grote groep “dit en dat” doet en gebruikt, moet iedereen maar dat doen?

Dan wordt ik maar buitengesloten! Ben tenminste geen meeloperige bangerd!

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond