Subscription bombing

Subscription bombing is een fenomeen dat steeds vaker voorkomt en iedere organisatie die op haar website met formulieren werkt, kan hier het slachtoffer van worden.

Wat is subscription bombing, wat is de schade voor jouw organisatie en hoe kun je deze voorkomen of beperken? Dat lichten we toe in dit artikel.

Wat is subscription bombing?

Subscription bombing is een spam-methode die misbruik maakt van een bestaande infrastructuur met een gevestigde reputatie. Malafide scripts van spammers speuren het web af, op zoek naar onveilige formulieren op websites. Een gevonden formulier wordt vervolgens door het script automatisch ingevuld met e-mailadressen van consumenten en de consument wordt zodoende “aangemeld” om mail te ontvangen.

Subscription bombing is zo succesvol omdat formulieren meestal transactionele e-mails activeren. Dit zijn e-mails met een niet commercieel doeleinde, bijvoorbeeld meldingen over aanmelding, instellings-wijzigingen, aankopen of facturen.

Deze hebben vaak een betere reputatie, worden met een hogere prioriteit verzonden en hebben daardoor een betere kans om in de inbox van de ontvanger te belanden.

Subscription bombing wordt uitgevoerd om de volgende redenen:

• • Als afleiding voor een hackpoging: als een consument wordt aangemeld voor allerlei nieuwsbrieven tegelijk, zal deze een “bom” aan e-mails ontvangen. Zo wordt de ontvanger afgeleid van belangrijke e-mails (facturen, wijzigingen van instellingen etc.) waardoor hackers aankopen kunnen doen of vrij spel hebben voor andere frauduleuze zaken.
  • Uit wraak: om iemand lastig te vallen, voor de lol of om andere kwaadaardige redenen.
  • Voor het verzenden van spam: velden op jouw formulier kunnen worden gevuld met spam-teksten en phishing-websites, waarna deze onbedoeld worden gebruikt om jouw (automatische) e-mails te personaliseren.

Drie partijen zijn slachtoffer

Naast de consument, worden ook organisaties en ESP’s (Webpower of onze collega’s) geraakt. Als je als organisatie je formulieren op de website niet goed genoeg beveiligd hebt, kun je onbedoeld één of meerdere e-mails verzenden.

Dit kan imago- en reputatieschade opleveren, voor zowel de ESP als de organisatie die de e-mail verzendt. Hieronder lichten we verder toe hoe dit zit.

Hoe herken je subscription bombing?

Als organisatie krijg je ineens veel ‘valse’ aanmeldingen binnen voor je (e-mail) marketing automation-lijsten. De volgende punten geven een goede indicatie hiervan:

• Adressen komen vaker op niet-reguliere tijdstippen binnen.
• In de vrije velden (bijvoorbeeld voornaam) wordt een willekeurige volgorde van karakters ingevuld.
• Er bestaan meerdere aanmeldingen met variaties op hetzelfde e-mailadres. Gmail zal bijvoorbeeld ongeacht op welke plek de punt staat dit naar hetzelfde mailadres sturen waardoor het mailadres nog meer gespamd wordt.
• Er staan opeens domeinen in je lijst die niet binnen jouw doelgroep vallen. Als je in het Nederlands mailt, dan verwacht je amper adressen van Amerikaanse internetaanbieders als @comcast.net of @aol.com.

Welke schade loopt mijn organisatie op?

Subscription bombing kent verschillende types schade voor jouw organisatie:

• • Imagoschade: ontvangers worden lastigvallen met ongewenste (opt-in) e-mails van jouw organisatie en dat komt je naam niet ten goede.
  • Reputatieschade: omdat je veel (opt-in) e-mails verzendt die niet verzonden hadden mogen worden, krijg je te maken met hard bounces, unsubscribes, spam trap hits en spamklachten. Als je verzonden e-mails als spam worden aangemerkt, kan dit flinke reputatieschade opleveren voor jouw verzendende domein én het domein van jouw ESP als geheel. Daardoor beland je een volgende keer ook eerder in de spamfolder.

Let wel: óók als de e-mail niet als spam wordt aangemerkt door de ontvanger, loop je reputatieschade op.

Als je veel e-mails verzendt die nooit geopend worden, word je door grote e-mailclients als Gmail of Outlook namelijk eerder gezien als minder betrouwbaar dan domeinen van waaruit e-mails verzonden worden die wél geopend worden. In het ergste geval kun je zelfs geblokkeerd worden.

Hoe voorkom je schade door subscription bombing?

Je kunt schade door subscription bombing op verschillende manieren voorkomen:

• • Beveilig je formulieren met een CAPTCHA.
  • Plaats het formulier op een andere link dan op de homepage; formulieren worden meestal getarget via de homepage en zijn minder snel vindbaar op een andere link. Zet als alternatief eventueel een Landingspagina met een formulier in (de landingspagina’s van Webpower zijn ook voorzien van een reCAPTCHA-optie die je aan kunt zetten).
  • Voeg een (extra) hidden field toe. Een hidden field is een onder water-veld dat onzichtbaar is voor een mens. Als dit veld tóch is ingevuld, is het aannemelijk dat er een spambot actief is geweest.

Hiernaast raden wij ook een dubbele opt-in aan. Omdat de ontvanger eerst moet bevestigen dat hij/zij zich voor deze mail-lijst heeft aangemeld (en hij/zij dit bij subscription bombing niet doet), voorkom je dat er automatisch vervolg-e-mails uit je lijst verzonden worden naar het slachtoffer als een bevestiging uitblijft.
Er is wat voor te zeggen dat een opt-inmail onderdeel van het probleem is omdat het meteen de inbox van de ontvanger “vervuilt”. Dit weegt echter niet op tegen de schade die wordt veroorzaakt als de subscription bombing lang onopgemerkt blijft en contacten ongewenst mails van jou blijven ontvangen.

Wat moet je doen als jouw formulieren misbruikt zijn?

Schakel ons in en start met het (opnieuw) beveiligen van je formulieren. Ook het deliverability-team van Webpower zélf zal je onmiddellijk op subscription bombing attenderen. Ons team van experts monitort namelijk continu de verzendingen van onze klanten om een zo hoog mogelijke deliverability te garanderen.

Na subscription bombing kunnen we eventueel samen met jou de volgende acties uitvoeren:

• • De inschrijvings-plug-in op non-actief zetten;
  • Flows en automation pauzeren;
  • Onmiddellijk nep-adressen uit je database verwijderen. Wees hierbij niet te voorzichtig en verwijder beter te veel adressen, dan te weinig. Dit kun je het best doen met de Verwijder Bulk-optie in Webpower.
  • Vragen je formulier met een CAPTCHA te beveiligen.

Pas als je je database hebt opgeschoond en je formulieren hebt beveiligd, kun je weer starten met het verzenden van je e-mail(flows) en ben je beschermd tegen mogelijke toekomstige subscription bombs.