Subscription bombing: beveilig je online formulieren en voorkom schade

Subscription bombing is een fenomeen dat steeds vaker voorkomt en iedere organisatie die op haar website met formulieren werkt, kan hier slachtoffer van worden. 

Bij subscription bombing ontvangt een slachtoffer binnen een paar uur tienduizenden e-mails in de inbox, maar ook je organisatie en je Email Service Provider lijden onbedoeld schade. Wat is subscription bombing, wat is de schade voor je organisatie en hoe kun je deze voorkomen/beperken?

Subscription bombing is een spam-methode die reguliere spambestrijding omzeilt en misbruik maakt van een legitieme infrastructuur met een gevestigde reputatie. Malafide scripts van spammers speuren daarvoor het web af, op zoek naar onveilige formulieren op websites.

Waarom is subscription bombing succesvol? 

Formulieren activeren meestal transactionele e-mails. Dit zijn e-mails met een niet commercieel doeleinde, bijvoorbeeld meldingen over aanmelding, instellings-wijzigingen, aankopen, facturen etcetera.

Deze hebben vaak een betere reputatie, worden met een hogere prioriteit verzonden en hebben daardoor een betere kans om in de inbox van de ontvanger te belanden. 

Kort gezegd wordt subscription bombing uitgevoerd om de volgende redenen:

• Als afleiding voor een hackpoging: door de e-mailbom wordt het slachtoffer afgeleid van belangrijke e-mails (facturen, wijzigingen van instellingen etcetera) waardoor hackers aankopen kunnen doen of vrij spel hebben voor andere frauduleuze zaken
• Uit wraak: om iemand lastig te vallen, voor de lol of om andere kwaadaardige redenen.
• Voor het verzenden van spam: Velden op je formulier kunnen worden gevuld met spam-teksten en phishing-websites, waarna deze onbedoeld worden gebruikt om je (automatische) e-mails te personaliseren.

Drie partijen het slachtoffer

Naast de consument, worden ook organisaties en ESP’s vaak hard geraakt. Als je als organisatie je formulieren op de website niet goed genoeg beveiligd hebt, kun je onbedoeld één of meerdere van deze duizenden e-mails verzenden. 

Dit kan imago- en reputatieschade opleveren, voor zowel de ESP als de organisatie die de e-mail verzendt. Hieronder licht ik verder toe hoe dit zit.

Hoe herken je subscription bombing als organisatie?

Als organisatie krijg je ineens veel ‘valse’ aanmeldingen binnen voor je (e-mail) marketing automation-lijsten. Deze zijn vaak op niet-reguliere tijdstippen binnengekomen en zijn van een andere categorie dan de e-mailadressen die zich normaal aanmelden (bijv. com). Ook worden er veel plotselinge automatische verzendingen gedaan.

Welke schade loopt mijn organisatie op?

Subscription bombing kent verschillende types schade voor je organisatie:

• Mislopen van leads/prospects: je loopt mogelijk leads/prospects mis doordat je formulieren tijdelijk offline gehaald dienen te worden en bezoekers je website verlaten

• Imagoschade: ontvangers worden lastigvallen met ongewenste (opt-in) e-mails van je organisatie en dat komt je naam niet ten goede.
• Reputatieschade: omdat je veel (opt-in) e-mails verzendt die niet verzonden hadden mogen worden, krijg je te maken met hard bounces, unsubscribes, spam trap hits en spamklachten. 

Als je verzonden e-mails als spam worden aangemerkt, kan dit flinke reputatieschade opleveren voor je verzendende domein én het domein van je ESP (E-mail Service Provider) als geheel. Daardoor beland je een volgende keer ook eerder in de spamfolder.

Let wel: óók als de e-mail niet als spam wordt aangemerkt door de ontvanger, loop je reputatieschade op. Als je veel e-mails verzendt die nooit geopend worden, word je door grote e-mailclients als Gmail of Outlook namelijk eerder gezien als minder betrouwbaar dan domeinen van waaruit e-mails verzonden worden die wél geopend worden. In het ergste geval kun je zelfs geblokkeerd worden.

Hoe voorkom je schade door subscription bombing?

Je kunt schade door subscription bombing op verschillende manieren voorkomen:

• Beveilig je formulieren met een reCAPTCHA.
• Plaats het formulier op een andere link dan op de homepage; formulieren worden meestal getarget via de homepage en zijn minder snel vindbaar op een andere link. Zet als alternatief eventueel een Landingspagina met een formulier in
• Voeg een (extra) hidden field toe. Een hidden field is een onder water-veld dat onzichtbaar is voor een mens. Als dit veld tóch is ingevuld, is het aannemelijk dat er een spambot actief is geweest.
• Dubbele opt-in: heb je e-mailflows ingesteld? Zorg er dan voor dat je werkt met een double opt-in. Omdat de ontvanger eerst moet bevestigen dat hij/zij zich voor deze mail-lijst heeft aangemeld (en hij/zij dit bij subscription bombing niet doet), voorkom je dat er automatisch vervolg-e-mails verzonden worden naar het slachtoffer als een bevestiging uitblijft. 

Hier zitten wel een paar haken en ogen aan. Zo biedt een dubbele opt-in geen volledige veiligheid. Als je dubbele opt-in in het geval van subscription bombing als spam wordt aangemerkt, kan dit alsnog reputatieschade opleveren.

Ook biedt dubbele opt-in het slachtoffer geen enkele bescherming tegen subscription bombing, juist omdat de bevestigings-e-mails onderdeel uitmaken van het bombardement. 

Wat moet je doen als je formulieren misbruikt zijn door spammers?

Schakel je E-mail Service Provider (ESP) in en start met het (opnieuw) beveiligen van je formulieren. Na subscription bombing je eventueel de volgende acties uitvoeren:

• De inschrijvings-plug-in op non-actief zetten;
• Flows en automation pauzeren;
• Onmiddellijk nep-adressen uit je database verwijderen. Wees hierbij niet te voorzichtig en verwijder beter te veel adressen, dan te weinig. Het domein (bijv.com) of de tijd van inschrijving geeft vaak een goede indicatie van wat nep is. Domeinen uit Amerika komen meestal niet voorbij bij een organisatie die in het Nederlands mailt. 
• Vragen je formulier met een reCAPTCHA te beveiligen.

Pas als je je database hebt opgeschoond en je formulieren hebt beveiligd, kun je weer starten met het verzenden van je e-mail(flows) en ben je beschermd tegen mogelijke toekomstige subscription bombs.

Wat als mijn eigen zakelijke e-mailadres gebombardeerd wordt?

Nu we het onderwerp toch uitdiepen, vertel ik je graag ook nog even wat je kunt doen als je zélf het slachtoffer bent van subscription bombing.

Als organisatie werk je waarschijnlijk met een ervaren IT-specialist/medewerker(s), die zorgen dat je beschermd bent tegen spam en malware. IT-specialisten werken vaak met grote e-mailclients als Exchange en Gmail, die een groot aantal versleutelings-opties bieden. 

Door MFA (Multi Factor Authentication) wordt er soms nog een extra stap toegevoegd aan het inloggen (bijv. een sms’je met een code) en ben je nog beter beschermd.

Als je zakelijke e-mailadres gebombardeerd wordt, zal de IT-afdeling van je organisatie onmiddellijk actie ondernemen. Blijf in ieder geval regelmatig je wachtwoorden vernieuwen en kies een sterk “niet regulier” wachtwoord.

Wat als mijn privé-adres gebombardeerd wordt?

Ben je via je privé-mailadres slachtoffer van subscription bombing? Verwijder dan niet meteen alle e-mails, maar bekijk eerst rustig welke verdachte activiteiten je ziet.

Daarna kun je het volgende doen:

• Benader je belangrijke contacten in en geef aan dat je niet bereikbaar bent via je gebombardeerde mailadres.
• Voorkom toegang tot persoonlijke gegevens via niet-versleutelde of openbare wifi.
• Log in op accounts van webshops waar je vaak bestelt, verwijder onmiddellijk je betalingsmethodes, check eventuele gearchiveerde bestellingen en neem contact op met de klantenservice.
• Neem contact op met je bank om verdachte afschrijvingen en betalingen te checken en passen te blokkeren.
• Beheer je een website? Neem dan contact op met je hosting-provider. Wijzig ook hier je wachtwoorden en stel eventueel MFA in.
• Zoek op internet naar je e-mailadres en kijk of het voorkomt op lijsten waarvoor je je niet hebt ingeschreven. Vraag de desbetreffende organisatie je gegevens te verwijderen. Dit is een tijdrovende klus, maar een waardevolle stap.
• Neem altijd contact op met je e-mailprovider en stel filters (“rules”) in om je inbox op te schonen en het kaf van het koren te scheiden.

Let wel: het advies is om je e-mailaccount niet te verwijderen. Controle krijgen over je e-mailadres is wat hackers willen en door het te verwijderen, sta je hen toe dat doel te bereiken.

Uiteindelijk zul je subscription bombing als privépersoon moeten doorstaan en hopen dat het stopt. Het kan een dag duren, maar ook een week/weken. De hacker krijgt uiteindelijk zijn/haar zin óf beseft dat er maatregelen zijn genomen, waarna er een makkelijker doelwit wordt gezocht. Geef je dus niet zomaar gewonnen.

Over de auteur: Sean Barten is client service manager bij Webpower.