Eind mei waarschuwde Kaspersky er in een blog al voor: het Travelphishing Season is geopend. Vanaf eind mei doet een steeds groter deel van de spammers en phishers zich voor als reisorganisatie om nietsvermoedende consumenten geld en persoonsgegevens afhandig te maken. Daarbij gebruiken ze ook vaak valse domeinnamen. Gebeurt dat ook in Nederland? Om dat te onderzoeken analyseerde we deze week de merknamen van 4 grote online aanbieders van reizen in Nederland met behulp van de Domeinnaambewakingsservice. Hoe wordt hun merknaam gebruikt? En welk risico lopen consumenten hier?
Analyse van 4 grote merken
Voor de analyse zochten wij naar .nl- domeinnamen die lijken op de merknamen van Sunweb, Corendon, Vakantiediscounter en Prijsvrij. Wij ontdekten er 617. Een fors aantal maar niet verrassend, omdat sommige van deze merknamen een vrij generiek karakter hebben. Van de 617 treffers zijn 86 namen geregistreerd door de bedrijven zelf, hun holdings of dochterondernemingen. Waarschijnlijk uit defensieve overwegingen of met oog op nieuwe diensten. Van de resterende namen lijken er 12 toe te behoren aan bedrijven die met deze touroperators samenwerken, zoals lokale reisbureaus (bijv. corendonvliegvakanties.nl).
500 varianten op merknamen
Dat laat ruim 500 varianten over. De grote meerderheid daarvan zijn varianten op de naam Sunweb, dat een sterk generiek karakter heeft. Veel van deze namen lijken op het eerste gezicht niet direct verband te houden met de reisbranche. Een naam als sumweb.nl of punweb.nl betekent in de ogen van de gebruiker iets geheel anders. Op Prijsvrij, Corendon en Vakantiediscounter vonden wij veel minder varianten (ieder ca 40). De varianten die er zijn, lijken gericht op het meeliften op hun merknaam (vb. wwwprijsvrij.nl).
Vooral profiteren via Google
Het gebruik van deze namen is vrij onschuldig: op de meeste pagina’s worden Google-advertenties van het merk zelf getoond waarop de bezoeker klikt om doorgeleid te worden naar de pagina zelf. De eigenaar van de domeinnaam ontvangt dan als ‘tussenpartij’ een kickback fee van Google. De reisorganisatie betaalt voor de click.
Misbruik vaak onzichtbaar
Geen van de gevonden sites wordt zichtbaar gebruikt voor phishing, maar daarbij moeten wij een voorbehoud maken: op basis van een websitescan kunnen we niet zien of er vanaf de domeinnaam spam wordt verstuurd. En waarom staat een domein als corendonn.nl, dat niet meer doet dan redirecten naar de site van Corendon zelf, op naam van een ‘anoniem’ in Luxemburg?
Advies aan reisorganisaties: monitor actief
Het is een vraag die veel van de gevonden websites oproepen. Op het oog vertonen zij geen verdacht gedrag, maar waarom komt de data van de houder niet overeen met die van het bedrijf? Het risico van spam of phishing is dus zeker niet uit te sluiten. De meting die wij hebben gedaan is een momentopname. De situatie kan morgen alweer anders zijn. De reisbranche doet er daarom zeker goed aan dit actief te monitoren.
Bron: https://www.sidn.nl/nieuws-en-blogs/reisorganisaties-geliefd-seizoensdoelwit-voor-phishing