Reisorganisaties geliefd seizoensdoelwit voor phishing

Eind mei waarschuwde Kaspersky er in een blog al voor: het Travelphishing Season is geopend. Vanaf eind mei doet een steeds groter deel van de spammers en phishers zich voor als reisorganisatie om nietsvermoedende consumenten geld en persoonsgegevens afhandig te maken. Daarbij gebruiken ze ook vaak valse domeinnamen. Gebeurt dat ook in Nederland? Om dat te onderzoeken analyseerde we deze week de merknamen van 4 grote online aanbieders van reizen in Nederland met behulp van de Domeinnaambewakingsservice. Hoe wordt hun merknaam gebruikt? En welk risico lopen consumenten hier?

Analyse van 4 grote merken

Voor de analyse zochten wij naar .nl- domeinnamen die lijken op de merknamen van Sunweb, Corendon, Vakantiediscounter en Prijsvrij. Wij ontdekten er 617. Een fors aantal maar niet verrassend, omdat sommige van deze merknamen een vrij generiek karakter hebben. Van de 617 treffers zijn 86 namen geregistreerd door de bedrijven zelf, hun holdings of dochterondernemingen. Waarschijnlijk uit defensieve overwegingen of met oog op nieuwe diensten. Van de resterende namen lijken er 12 toe te behoren aan bedrijven die met deze touroperators samenwerken, zoals lokale reisbureaus (bijv. corendonvliegvakanties.nl).

500 varianten op merknamen

Dat laat ruim 500 varianten over. De grote meerderheid daarvan zijn varianten op de naam Sunweb, dat een sterk generiek karakter heeft. Veel van deze namen lijken op het eerste gezicht niet direct verband te houden met de reisbranche. Een naam als sumweb.nl of punweb.nl betekent in de ogen van de gebruiker iets geheel anders. Op Prijsvrij, Corendon en Vakantiediscounter vonden wij veel minder varianten (ieder ca 40). De varianten die er zijn, lijken gericht op het meeliften op hun merknaam (vb. wwwprijsvrij.nl).

Vooral profiteren via Google

Het gebruik van deze namen is vrij onschuldig: op de meeste pagina’s worden Google-advertenties van het merk zelf getoond waarop de bezoeker klikt om doorgeleid te worden naar de pagina zelf. De eigenaar van de domeinnaam ontvangt dan als ‘tussenpartij' een kickback fee van Google. De reisorganisatie betaalt voor de click.

Misbruik vaak onzichtbaar

Geen van de gevonden sites wordt zichtbaar gebruikt voor phishing, maar daarbij moeten wij een voorbehoud maken: op basis van een websitescan kunnen we niet zien of er vanaf de domeinnaam spam wordt verstuurd. En waarom staat een domein als corendonn.nl, dat niet meer doet dan redirecten naar de site van Corendon zelf, op naam van een ‘anoniem’ in Luxemburg?

Advies aan reisorganisaties: monitor actief

Het is een vraag die veel van de gevonden websites oproepen. Op het oog vertonen zij geen verdacht gedrag, maar waarom komt de data van de houder niet overeen met die van het bedrijf? Het risico van spam of phishing is dus zeker niet uit te sluiten. De meting die wij hebben gedaan is een momentopname. De situatie kan morgen alweer anders zijn. De reisbranche doet er daarom zeker goed aan dit actief te monitoren.

Michiel_Hennekes

Michiel Henneke

Marketing manager

+31 26 352 55 00

marketing@sidn.nl

  • donderdag 11 april 2019

    Veilig internet

    Retailmerken populair als domeinnaam van phishingwebsites

    Thumb-Albert-Heijn-winkelmandje

    Analyse Nederlandse retailmerken: voeding en genotsmiddelen bovengemiddeld vaak slachtoffer

    Lees meer
  • dinsdag 25 juni 2019

    DNSSEC

    Adoptie internetbeveiligings-standaarden bij overheid vlakt af

    Thumb-Dutch-Parliament-The-Hague-Netherlands

    Wettelijke verplichting in de maak

    Lees meer
  • dinsdag 3 september 2019

    Oplossingen

    SPIN klaar voor integratie door marktpartijen

    Thumb-metalen-robot---spin-op-oppervlak-met-binaire-code

    Community en andere marktpartijen aan zet

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.