E-mailfraude op de loer in aanloop naar piek boekingsseizoen

Proofpoint, Inc onthult in nieuw onderzoek dat 80% van de top reiswebsites* in Nederland hun basis cybersecuritymaatregelen niet op orde hebben. Hierdoor loopt meer dan driekwart van de Nederlandse vakantiegangers risico op e-mailfraude. Deze bevindingen zijn gebaseerd op de Domain-based Message Authentication, Reporting and Conformance (DMARC) adoption-analyse van de top twintig reiswebsites in het Verenigd Koninkrijk, Europa en het Midden-Oosten (EMEA).

DMARC is een e-mailvalidatieprotocol ontworpen om domeinnamen te beschermen tegen misbruik van cybercriminelen. Het authentiseert de identiteit van de afzender voordat een bericht zijn bedoelde bestemming bereikt. DMARC heeft drie levels van bescherming, namelijk monitoren, in quarantaine plaatsen en afwijzen. Afwijzing is de meest veilige manier om te voorkomen dat verdachte e-mails de inbox bereiken.

Bijna 8 op 10 Nederlanders zijn van plan op vakantie te gaan deze zomer, volgens bevindingen van Trends & Tourism NL. Van deze groep plant meer dan driekwart om naar het buitenland te gaan. Klanten zijn enthousiast hun vakanties aan het plannen, wat zorgt deze activiteitenpiek. In combinatie met een groot volume aan e-mails en promoties van reismaatschappijen, zorgt dit voor ideale omstandigheden voor cybercriminelen. Zij zetten droomvakanties om in dure scams door geavanceerde e-mailfraude.

De belangrijkste bevindingen van de analyse:

• Nederland laat een sterke basis zien voor e-mailbeveiliging, in lijn met de acht belangrijkste, geanalyseerde regio’s in EMEA. 85% van de top Nederlandse reiswebsites hebben een basis DMARC e-mailauthenticatie record gepubliceerd.
• Toch is er veel ruimte voor verbetering, gezien maar 20% van de top Nederlandse reiswebsites het beleid tot ‘afwijzing’ doortrekken. 80% laat zijn klanten, medewerkers en partners kwetsbaarder voor het ontvangen van frauduleuze e-mails die deze merken nadoen.
• Gemiddeld heeft 88% van de top reiswebsites in EMEA een basis DMARC-record gepubliceerd. Toch heeft maar 46% van de geanalyseerde reiswebsites een beleid tot ‘afwijzing’, wat betekent dat bij 54% de klanten het risico van e-mailfraude lopen.

“Vakantieboekingen representeren vaak een significant aantal financiële transacties van hoge waarde. Ook brengen ze ervaringen van hoge persoonlijke en emotionele waarde. Deze combinatie maakt reizigers het ideale doelwit voor cybercriminelen. Deze aanvallers gebruiken actief geavanceerde e-mailfraude, voornamelijk tijdens het piekseizoen voor vakanties om misbruik te maken van kwetsbaarheden”, zegt Matt Cooke, Cybersecurity Strategist bij Proofpoint. “Neppe boekingsbevestigingen, deals die te goed lijken om waar te zijn en urgente betaalverzoeken voor zogenaamde vluchtveranderingen zijn veelvoorkomende tactieken. Deze frauduleuze communicaties lijken vaak erg overtuigend, waardoor de financiën en persoonlijke gegevens van reizigers risico lopen.”

Cooke vertelt verder, “reismaatschappijen hebben een maatschappelijke verantwoordelijkheid er alles aan te doen om te voorkomen dat scam e-mails onder hun naam naar vakantiegangers gestuurd worden. Door DMARC-technologie volledig te implementeren, tot ‘afwijzing’ aan toe, kunnen reismaatschappijen het risico op scams aanzienlijk verkleinen. Zo beschermen ze zowel hun merk als de vakantiegangers. Het is een win-win.”

Proofpoint geeft reizigers de volgende tips om veilig te blijven tijdens het online boeken en beheren van reizen:

• Beveilig je boekingen en je accounts. Gebruik sterke, unieke wachtwoorden voor reisaccounts en boekingswebsites. Sta multifactorauthenticatie (MFA) toe waar mogelijk voor een extra laag beveiliging.
• Kijk uit voor neppe reisdeals en -websites. Kijk uit voor ongevraagde aanbiedingen die te goed lijken om waar te zijn. Scammers maken overtuigende nepwebsites voor vliegtuigmaatschappijen, hotels en vergelijkingswebsites om geld en inloggegevens te stelen. Plan altijd met officiële websites en erkende reisagenten.
• Stuur weg van phishingtrips en smishing scams. Blijf alert voor phishing e-mails en smishing (SMS phishing) berichten over vluchtaanpassingen, boekingsbevestigingen en visumaanvragen die urgente actie of persoonlijke details nodig hebben. Deze leiden vaak naar neppe loginpagina’s die zijn ontworpen om informatie te stelen.
• Wordt niet herleid door verdachte links. Vermijd direct klikken op links in ongevraagde e-mails, social mediaberichten en pop-upadvertenties, voornamelijk met speciale aanbiedingen en urgente waarschuwingen. Type in plaats daarvan het adres van de officiële website direct in de browser. Check reviews voor je boekt. Frauduleuze reisaanbiedingen, websites en apps kunnen erg oprecht lijken. Besteed tijd aan het onderzoeken van het bedrijf, lees onafhankelijke online reviews en check klachten van klanten voordat je betaalgegevens doorgeeft of een nieuwe reisapp downloadt.

Klik hier voor meer informatie over DMARC.

Methode: * Deze analyse van DMARC-adoptie onder de top 20 onlinereissites in het Verenigd Koninkrijk, Italië, Frankrijk, Duitsland, Spanje, Benelux, VAE en KSA (zoals geïdentificeerd door gegevens van Semrush, ecommerce Italia, Fevad, Statista, Ocu, SimilarWeb) werd uitgevoerd in mei 2025.