Blog

Affiliate hijacking en traffic hijacking: hoe frauduleuze scripts gebruikers omleiden

Affiliate hijacking is traffic hijacking voor commissiefraude: browser-side scripts leiden klikken om via affiliatelinks die door aanvallers worden beheerd. Zo werkt het en zo stop je het.

Jul 10, 2025 • 5 min read

Himanshu Anand Software Engineer

banner van dit artikel op een zwart-blauwe achtergrond

Heb je ooit op een link geklikt en ergens anders terechtgekomen dan verwacht? Of heb je gemerkt dat een website zich vreemd gedroeg en je doorstuurde naar sites waar je niet om had gevraagd? Dit kan een teken zijn van traffic hijacking.

Laten we uitleggen wat dit betekent, hoe het werkt en hoe je jezelf kunt beschermen.

Update 2026: we hebben deze gids aangescherpt om affiliate hijacking te scheiden van bredere traffic hijacking en te laten zien waarom browser-side redirects kunnen plaatsvinden, ook wanneer de server en betaalpagina schoon zijn.

Wat is affiliate hijacking?

Affiliate hijacking is een vorm van traffic hijacking waarbij geïnjecteerde JavaScript de klik, uitgaande link of sessieroute van een gebruiker verandert, zodat die via de affiliate-URL van een aanvaller loopt voordat de echte bestemming wordt bereikt. De gebruiker kan nog steeds op de verwachte site uitkomen, maar de attributie en commissie gaan naar de aanvaller. Omdat de redirect in de browser wordt geactiveerd, zien serverlogs, WAF's en checkout-only controles vaak een normale paginarequest terwijl de omzetdiefstal plaatsvindt tussen klik en bestemming.

Wat is traffic hijacking?

Traffic hijacking is wanneer iemand stiekem verandert waar de links van een website naartoe gaan, zodat bezoekers naar andere sites worden gestuurd. Vaak met kwaadaardige bedoelingen. Dit is slecht voor gebruikers (die worden misleid of aan gevaar blootgesteld) en voor website-eigenaren (die vertrouwen en inkomsten verliezen).

We hebben gebruikers geconditioneerd om te denken dat het normaal is dat, wanneer ze op "Betalen" klikken, het scherm even flitst en er een gloednieuwe pagina laadt van een volledig ander domein.

Maar dit is een enorme blinde vlek — en aanvallers weten dat.

Als je dus het betaalformulier zelf beveiligt — door scripts op die pagina te valideren met bijvoorbeeld cside — dan is het voor een kwaadwillende partij volkomen logisch om in plaats daarvan de klik te kapen die gebruikers daarheen brengt.

We gaan dieper in op deze tactiek in deze PCI DSS-update van januari voor SAQ A-bedrijven.

Deze specifieke tactiek staat bekend als clickjacking (simpelweg een variant van traffic hijacking) en wordt vaak gebruikt om vertrouwde flows na te bootsen.

Soorten hijacking in één oogopslag

Term	Wat het is	Wie het schaadt
Traffic hijacking	Code verandert stiekem waar de links of navigatie van een site bezoekers naartoe sturen	Gebruikers en site-eigenaren
Clickjacking	Misleidt een gebruiker om op iets anders te klikken dan wat hij ziet, vaak via onzichtbare overlays	Gebruikers
Affiliate hijacking (link hijacking)	Leidt een klik of sessie om via de affiliatelink van een aanvaller om een commissie te stelen	Affiliateprogramma's en site-eigenaren
Kwaadaardige omleiding	Stuurt een bezoeker midden in een flow naar een oplichtings- of malwarepagina	Gebruikers en site-eigenaren

Hoe werkt affiliatefraude?

Affiliate hijacking is de meest voorkomende vorm: kwaadaardige code stuurt de klik of sessie van een gebruiker via de affiliatelink van een aanvaller voordat de echte bestemming laadt, zodat de aanvaller een commissie int die de bezoeker nooit had willen genereren. In bredere zin is affiliatefraude wanneer iemand misbruik maakt van affiliateprogramma's (die betalen voor klikken of verkopen) door gebruikers via hun speciale links te sturen, ook als de gebruiker daar nooit om heeft gevraagd. Dit is oneerlijk tegenover zowel de echte website als de bedrijven die de affiliateprogramma's beheren.

Een veelgebruikte tactiek is link hijacking, waarbij een script een gebruiker via de affiliatelink van de aanvaller omleidt voordat de eindbestemming wordt bereikt. In meer geavanceerde gevallen voegen aanvallers dynamisch affiliatelinks in, maar alleen voor bepaalde hoogwaardige gebruikers of op basis van browsersignalen, waardoor detectie moeilijker wordt.

Hoe vinden deze aanvallen plaats? (met eenvoudige codevoorbeelden)

Aanvallers maken gebruik van verborgen JavaScript op websites.

Zo werkt het, stap voor stap:

1. Je browser detecteren

Het script controleert eerst welke browser je gebruikt:

// Controleert of je Chrome, Firefox, Safari, etc. gebruikt.  
function getBrowser() {  
  // ...detecteert browsertype...  
}

2. Downloadlinks vervangen

Het zoekt alle downloadlinks op en verandert wat er gebeurt wanneer je erop klikt:

// Zoekt alle downloadlinks en wijzigt hun gedrag  
let links = document.querySelectorAll('a.dlink');  
for (let link of links) {  
  link.setAttribute('href', 'javascript:void(0);');  
  link.addEventListener('click', function () {  
    // In plaats van downloaden word je omgeleid  
    window.open('https://malicious-redirect[.]com', "_blank");  
  });  
}

3. Omleidingen bijhouden en beperken

Om niet te opvallend te zijn, gebruikt het script cookies om te beperken hoe vaak je wordt omgeleid:

function hasCookie() {  
  return document.cookie.includes('wpdlInterval=1');  
}

Wat betekent dit voor jou?

Voor gebruikers: Je kunt terechtkomen op frauduleuze of gevaarlijke sites, of je computer kan geïnfecteerd raken.
Voor website-eigenaren: Je bezoekers verliezen vertrouwen, je reputatie lijdt eronder, je loopt het risico op een compliance-overtreding en je misloopt echte inkomsten.

Hoe kun je dit herkennen en voorkomen?

Voor gebruikers:

Wees voorzichtig met downloadlinks, vooral op onbekende sites.
Gebruik een browserextensie of adblocker die waarschuwt voor verdachte omleidingen.
Houd je browser en antivirussoftware up-to-date.

Voor website-eigenaren:

Scan je site regelmatig op onbekende scripts.
Gebruik beveiligingsplugins en houd je software bijgewerkt.
Stel meldingen in voor ongewone verkeerspatronen.

Slotgedachten

Traffic hijacking en affiliatefraude zijn reële bedreigingen. Door te begrijpen hoe deze aanvallen werken, kun je jezelf en je website beter beschermen. Blijf alert en wees altijd voorzichtig met onbekende links.

Voor website-eigenaren is de verdediging zichtbaarheid op browserniveau. Affiliate-hijacking- en redirect-code onthult zich pas tijdens runtime in de browser, dus client-side security-monitoring die elk script inventariseert en waarschuwt bij ongeautoriseerde wijzigingen aan uitgaande links is wat het onderschept. cside signaleert ook de AI-agents en bots die dit misbruik in toenemende mate automatiseren.

Meld je aan om te beginnen of een demo boeken.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Affiliate hijacking is een vorm van affiliatefraude waarbij kwaadaardige code op een site de klik of sessie van een gebruiker via de affiliatelink van een aanvaller stuurt voordat de gebruiker naar de echte bestemming wordt gebracht, zodat de aanvaller een commissie verdient die de gebruiker nooit had willen genereren. Het draait meestal als geïnjecteerde JavaScript die download- of uitgaande links herschrijft, soms alleen voor bepaalde gebruikers of browsersignalen om detectie te ontwijken.

Ja. Affiliate hijacking kan afkomstig zijn van een gecompromitteerd third-party script, een ongeautoriseerde tag-manager-entry of een kwaadaardige browserextensie die op het apparaat van de gebruiker draait. In die gevallen kan de server schoon lijken terwijl JavaScript in de browser links herschrijft, affiliate-redirects opent of attributiecookies wijzigt.

Clickjacking misleidt een gebruiker om op iets anders te klikken dan wat hij ziet, vaak met behulp van onzichtbare overlays. Affiliate hijacking leidt specifiek de klik of navigatie om via de affiliatelink van een aanvaller om commissies te stelen. Clickjacking is een techniek; affiliate hijacking is één frauduleus resultaat dat geïnjecteerde redirect-scripts kunnen opleveren.

Een geïnjecteerd script zoekt uitgaande of download-links op en herschrijft ze, of voegt een click-listener toe die eerst de affiliate-URL van de aanvaller opent. Het gebruikt vaak cookies om te beperken hoe vaak het afgaat en browsercontroles om alleen bepaalde bezoekers te targeten, waardoor het gedrag moeilijk te reproduceren en vrijwel onzichtbaar is voor server-side tools.

Omdat de kwaadaardige code in de browser draait, missen server-side controles het. Detecteer het met client-side monitoring die elk script inventariseert, ongeautoriseerde wijzigingen aan uitgaande of download-links signaleert en waarschuwt wanneer code gebruikers omleidt naar niet-goedgekeurde domeinen. cside monitort scripts tijdens runtime in de browser om geïnjecteerde redirect- en affiliate-hijacking-code te onderscheppen voordat die gebruikers of inkomsten schaadt.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.