Subscription bombing: beveilig je online formulieren en voorkom schade

Geschatte leestijd: 5 minuten (Geen tijd? Stuur dit artikel per e-mail)
20 augustus 2020

Subscription bombing is een fenomeen dat steeds vaker voorkomt en iedere organisatie die op haar website met formulieren werkt, kan hier het slachtoffer van worden.

Bij subscription bombing ontvangt een slachtoffer binnen een paar uur tienduizenden e-mails in de inbox, maar ook jouw organisatie en jouw Email Service Provider (wij of onze collega’s) lijden onbedoeld schade.

Wat is subscription bombing, wat is de schade voor jouw organisatie en hoe kun je deze voorkomen of beperken? Dat lichten we toe in dit artikel.

Wat is subscription bombing?

Subscription bombing is een spam-methode die reguliere spambestrijding omzeilt en misbruik maakt van een legitieme infrastructuur met een gevestigde reputatie. Malafide scripts van spammers speuren daarvoor het web af, op zoek naar onveilige formulieren op websites.

Subscription bombing is zo succesvol omdat formulieren meestal transactionele e-mails activeren. Dit zijn e-mails met een niet commercieel doeleinde, bijvoorbeeld meldingen over aanmelding, instellings-wijzigingen, aankopen of facturen.

Deze hebben vaak een betere reputatie, worden met een hogere prioriteit verzonden en hebben daardoor een betere kans om in de inbox van de ontvanger te belanden.

Subscription bombing wordt uitgevoerd om de volgende redenen:

    • Als afleiding voor een hackpoging: door de e-mailbom wordt het slachtoffer afgeleid van belangrijke e-mails (facturen, wijzigingen van instellingen etc.) waardoor hackers aankopen kunnen doen of vrij spel hebben voor andere frauduleuze zaken.
    • Uit wraak: om iemand lastig te vallen, voor de lol of om andere kwaadaardige redenen.
    • Voor het verzenden van spam: velden op jouw formulier kunnen worden gevuld met spam-teksten en phishing-websites, waarna deze onbedoeld worden gebruikt om jouw (automatische) e-mails te personaliseren.

Drie partijen zijn slachtoffer

Naast de consument, worden ook organisaties en ESP’s (wij of onze collega’s) vaak hard geraakt. Als je als organisatie je formulieren op de website niet goed genoeg beveiligd hebt, kun je onbedoeld één of meerdere van deze tienduizenden e-mails verzenden.

Dit kan imago- en reputatieschade opleveren, voor zowel de ESP als de organisatie die de e-mail verzendt. Hieronder lichten we verder toe hoe dit zit.

Hoe herken je subscription bombing?

Als organisatie krijg je ineens veel ‘valse’ aanmeldingen binnen voor je (e-mail) marketing automation-lijsten. Deze zijn vaak op niet-reguliere tijdstippen binnengekomen en zijn van een andere categorie dan de e-mailadressen die zich normaal aanmelden. Ook worden er plotseling veel automatische verzendingen gedaan.

Welke schade loopt mijn organisatie op?

Subscription bombing kent verschillende types schade voor jouw organisatie:

    • Mislopen van leads/prospects: je loopt mogelijk leads/prospects mis doordat je formulieren tijdelijk offline gehaald moeten worden en bezoekers je website verlaten.
    • Imagoschade: ontvangers worden lastigvallen met ongewenste (opt-in) e-mails van jouw organisatie en dat komt je naam niet ten goede.
    • Reputatieschade: omdat je veel (opt-in) e-mails verzendt die niet verzonden hadden mogen worden, krijg je te maken met hard bounces, unsubscribes, spam trap hits en spamklachten. Als je verzonden e-mails als spam worden aangemerkt, kan dit flinke reputatieschade opleveren voor jouw verzendende domein én het domein van jouw ESP als geheel. Daardoor beland je een volgende keer ook eerder in de spamfolder.

Let wel: óók als de e-mail niet als spam wordt aangemerkt door de ontvanger, loop je reputatieschade op.

Als je veel e-mails verzendt die nooit geopend worden, word je door grote e-mailclients als Gmail of Outlook namelijk eerder gezien als minder betrouwbaar dan domeinen van waaruit e-mails verzonden worden die wél geopend worden. In het ergste geval kun je zelfs geblokkeerd worden.

Hoe voorkom je schade door subscription bombing?

Je kunt schade door subscription bombing op verschillende manieren voorkomen:

    • Beveilig je formulieren met een reCAPTCHA.
    • Plaats het formulier op een andere link dan op de homepage; formulieren worden meestal getarget via de homepage en zijn minder snel vindbaar op een andere link. Zet als alternatief eventueel een Landingspagina met een formulier in (de landingspagina’s van Webpower zijn ook voorzien van reCAPTCHA).
    • Voeg een (extra) hidden field toe. Een hidden field is een onder water-veld dat onzichtbaar is voor een mens. Als dit veld tóch is ingevuld, is het aannemelijk dat er een spambot actief is geweest.
    • Dubbele opt-in: heb je e-mailflows ingesteld? Zorg er dan voor dat je werkt met een double opt-in. Omdat de ontvanger eerst moet bevestigen dat hij/zij zich voor deze mail-lijst heeft aangemeld (en hij/zij dit bij subscription bombing niet doet), voorkom je dat er automatisch vervolg-e-mails uit je flow verzonden worden naar het slachtoffer als een bevestiging uitblijft.

Aan het laatste punt, zitten wel een aantal haken en ogen. Zo biedt een dubbele opt-in geen vollédige veiligheid. Als je dubbele opt-in in het geval van subscription bombing als spam wordt aangemerkt, kan dit alsnog reputatieschade opleveren.

Ook biedt de dubbele opt-in het slachtoffer geen enkele bescherming tegen subscription bombing, juist omdat de bevestigings-e-mails onderdeel uitmaken van het bombardement.

Wat moet je doen als jouw formulieren misbruikt zijn?

Schakel ons in en start met het (opnieuw) beveiligen van je formulieren. Ook het deliverability-team van Webpower zélf zal je onmiddellijk op subscription bombing attenderen. Ons team van experts monitort namelijk continu de verzendingen van onze klanten om een zo hoog mogelijke deliverability te garanderen.

Na subscription bombing kunnen we eventueel samen met jou de volgende acties uitvoeren:

    • De inschrijvings-plug-in op non-actief zetten;
    • Flows en automation pauzeren;
    • Onmiddellijk nep-adressen uit je database verwijderen. Wees hierbij niet te voorzichtig en verwijder beter te veel adressen, dan te weinig. Het domein (bijvoorbeeld .com) of de tijd van inschrijving geeft vaak een goede indicatie van wat nep is. Domeinen uit Amerika komen meestal niet voorbij bij een organisatie die in het Nederlands mailt;
    • Vragen je formulier met een reCAPTCHA te beveiligen.

Pas als je je database hebt opgeschoond en je formulieren hebt beveiligd, kun je weer starten met het verzenden van je e-mail(flows) en ben je beschermd tegen mogelijke toekomstige subscription bombs.

Meer weten over veilige (e-mail) marketing automation?

Zet jouw organisatie (e-mail) marketing automation in in combinatie met formulieren en heb je veiligheid hoog in het vaandel staan?

Onze experts staan je graag bij als je als Webpower-klant slachtoffer bent van subscription bombing. Benieuwd wat we nog meer voor je kunnen betekenen? Wij laten je graag kennismaken met de power van Webpower.

Neem contact op

Deel dit artikel

Op een krachtige manier conversie realiseren?

Schrijf je in voor YOUR Inspiration,
de maandelijkse inspiratie-e-mail van Webpower.
Loop geen relevante tips & tricks mis.