Smishing; phishing via sms'jes

by  Kim Zeltenrijch  on 
Gekko tips

We zijn van ver gekomen. Was het eerst een Afrikaanse prins die in een e-mail vertelde over een grote som geld die je zou hebben geërfd (even een snelle klik op de link en het is allemaal van jou, echt waar!). Tegenwoordig hebben we te maken met een veel hogere kwaliteit e-mails die van je bank, De Belastingdienst of je opdrachtgever lijken te komen. Maar 'there's a new kid on the block': phishing via sms'jes. Ook wel smishing of sms-phishing genoemd.

Smishing: een nieuwe methode

Smishing is niet meer of minder dan de oude phishing mail verkort naar een sms'je. De crimineel is nog steeds dezelfde, de afzender is onveranderd (bank, Belastingdienst etc.) en het doel van de internetcrimineel is ook niet veranderd: geld verdienen.

Hoe werkt het smishing precies

Het goede scenario: een crimineel stuurt een sms'je met daarin een link. Je wordt gevraagd op deze link te klikken om bijvoorbeeld je bankrekening te verifiëren of gegevens aan te vullen bij de KVK. Jij, zo gewiekst als je bent, weet precies wat er aan de hand is. Je verwijdert het sms'je en brengt de zogenaamde versturende partij op de hoogte van hun naams-misbruik. Tot slot plaats je een berichtje op social media om je netwerk bewust te maken van deze oplichtingsvorm.

Maar helaas is de situatie niet altijd zo rooskleurig. Laten we het scenario opnieuw spelen maar nu met een andere uitkomst. Een crimineel verstuurt een sms'je met daarin een link. Het sms'je lijkt van een vertrouwde partij te komen. Je klikt dus op de link, omdat je je bankaccount moet verifiëren omdat anders je pas wordt geblokkeerd? De browser op je telefoon opent een officieel ogende website waar je je gebruikersnaam en wachtwoord invult. 

In de volgende dagen merk je dat een onbekende partij geld van je rekening afschrijft. Je belt de fraude-afdeling van je bank en legt de situatie uit. Als het mogelijk is blokkeren ze het rekeningnummer van de crimineel. Maar dit is alles wat zij voor je kunnen doen en je geld is wel weg. Een aantal dagen later zie je een bericht vanuit je netwerk op social media die precies waarschuwt voor de situatie die jou is overkomen…

Gebruik van spoofing

Waarom steeds meer mensen in dit soort smishing trappen, komt doordat criminelen de techniek “spoofing” gebruiken. Spoofing betekent dat criminelen het verzendadres van je bank of andere organisatie 'kopiëren' en deze gebruiken om het valse sms'je te versturen. Je telefoon filtert sms'jes op afzender. De valse sms'jes komen dus automatisch tussen de legitieme sms'jes terecht met daarbij de echte naam van de afzender (bijvoorbeeld “ING Bank”). Daardoor is het best lastig om te herkennen dat dat smsje helemaal niet afkomstig is van die afzender. 

Best geraffineerd dus maar wat kan je dan doen om dit te voorkomen? Dit artikel lezen is gelukkig al stap één. Bewust zijn van online gevaren is de sleutel om hacks en cyberincidenten te voorkomen. Stap twee is systematisch kritisch kijken naar elk sms'je dat je ontvangt.

Een nieuwe trend?

Onlangs rapporteren steeds meer nieuwsbronnen over smishing. NOS kwam met "Phishing via Sms-berichten neemt toe: Als ik het nu lees denk ik: ik was zo dom!" en "Enorme phishingzaak: slachtoffer bijna miljoen euro kwijtgeraakt". NU.nl schreef "Kabinet wil 'groeiend probleem' van phishing via sms'jes aanpakken". Hebben we een nieuwe cyber-trend te pakken? 

Cybersecurity expert Chris Montijn zegt: "sms-phishing was er al, maar pas recent is deze methode meer wijdverspreid. Mensen hebben geleerd om kritisch te zijn op alle binnenkomende e-mails en e-mail providers hebben de beveiliging en filtering verbeterd. Dat is één van de redenen waarom smishing meer wordt gebruikt door internetcriminelen." 

 

Op je telefoon ben je makkelijker te manipuleren

Waar cyber-criminelen van profiteren is dat iedereen, van jong tot oud, steeds meer betalingen via zijn of haar mobiel doet. Ook krijgt iedereen zo nu en dan een verificatie sms om een betaling te bevestigen en een account te herstellen. Daar wordt van geprofiteerd. En omdat 2-factor-verificatie steeds meer in zwang komt, of zelfs verplicht wordt, zal dat alleen maar meer worden. Daarnaast is het zo dat mensen veel op hun mobiel zitten voor interacties met andere mensen. Daardoor zijn ze sneller geneigd om op berichten op hun telefoon te reageren dan via andere kanalen. Denk bijvoorbeeld maar eens aan een Tikkie die je krijgt nadat je met iemand uit eten bent geweest. Als dat via sms of Whatsapp komt van die persoon, zul je waarschijnlijk zonder na te denken op de link klikken en betalen. Krijg je deze in een email zonder verdere uitleg, dan zul je waarschijnlijk de andere persoon eerst vragen waarom. Sowieso heb je dikke kans dat een dergelijke email zonder uitleg in SPAM terecht komt.

Zo herken je een valse sms

  1. Let op het niveau van urgentie. Criminelen proberen je te dwingen iets snel te doen. "Verifieer nu je account" of "Pas direct je wachtwoord aan". Vertrouwde zakelijke partijen gebruiken andere middelen als er haast is en als men urgentie impliceert dan gaat het vaak om een valse sms.

  2. Is de naam van het sms'je van een (ogenschijnlijke) betrouwbare partij maar is het nummer onbekend (vaak een onbekend 06 nummer)? En vraagt je telefoon je om dit nummer op te slaan in de contactenlijst? Dan moeten de alarmbellen gaan rinkelen.

  3. Controleer de link in het sms'je goed voordat je erop drukt. Tegenwoordig worden nep linkjes zoals 'www.mijn.bank-abnamro.nl.bla.bla.nl' vaak gebruikt en deze lijken dus behoorlijk echt. Echter de domeinnaam (dus www.mijn.bank-abnamro.nl) klopt helemaal niet en een dergelijke link is dus foute boel.

  4. Krijg je een smsje terwijl je recent over het onderwerp van het smsje geen contact hebt gehad met die instantie? Dan is het waarschijnlijk ook smishing. De Belastingdienst zal nooit zomaar je vragen om een openstaand bedrag van 20,65 EUR te betalen. Daar krijg je eerst heel veel brieven over. En een bank zal ook niet een dag voordat je pas wordt geblokkeerd eenmalig een smsje sturen hierover.

Als je nu ook maar een beetje twijfel hebt bij een smsje, negeer het. Zoals uit punt 1 hierboven blijkt is urgentie een teken dat het om een valse sms gaat. Als het om een echte sms gaat, dan zul je dit wel merken doordat deze instantie op een andere manier je probeert te benaderen. Meestal voorkomt een dergelijk moment van bezinning al dat je in een smishing trapt.

Wat doe je als je al geklikt hebt? 

  1. Heb je alleen geklikt en geen belangrijke gegevens achtergelaten op de valse website? Scan je telefoon met een virusscanner-app om mogelijke infecties op te sporen en verwijder het sms'je. Voor extra zekerheid kan je eventueel je wachtwoord aanpassen van het getroffen account. 

  2. Heb je wel belangrijke gegevens gedeeld op de valse website? Ga dan zo snel mogelijk naar de legitieme website en verander je wachtwoord. Breng de fraude-afdeling van je bank op de hoogte, wellicht kunnen zij de overschrijving tegenhouden terwijl deze wordt verwerkt. Scan ten slotte je telefoon met een virusscanner-app. 

 

Let op je wie je gegevens heeft en gebruik je gezond verstand

Als laatste nog één tip waardoor je minder doelwit wordt van smishing. Als je voorzichtig omgaat met het delen van je telefoonnummer kan je voorkomen dat je überhaupt doelwit wordt van deze vorm van fraude. Plaats bijvoorbeeld niet je telefoonnummer op social media en deel het niet zomaar met anderen of op websites. Want ook legitieme websites die geen kwaad in de zin hebben kunnen gehacked worden. En dan ligt jouw telefoonnummer op straat, klaar om gebruikt te worden in een smishing aanval.

Twijfel je over een sms'je? Volg dan het advies van moeders op: 'praat niet met vreemden' en vraag aan een bekende wat hij of zij ervan vindt.

Dit artikel is tot stand gekomen in samenwerking met De Cyberwacht. De Cyberwacht is een initiatief van Nationale Nederland  en het Nederlands Cyber Collectief om mensen te informeren en een directe hulplijn te bieden bij (vermoede) cyber problemen. Je kan De Cyberwacht bereiken op 070-5130507, de eerste 5 minuten zijn altijd gratis.

Gekko tips