Smishing vs phishing — en hoe u zich hiertegen beschermt

Scammers zijn erg goed geworden in het gebruik van sms-berichten om bankpasgegevens en wachtwoorden voor online bankieren te verkrijgen.

Nu smishing helemaal in is, maken de media in de Verenigde Staten, Italië en Brailië melding van tal van alarmerende verhalen over nieuwe scams. De Duitse politie heeft zelfs een officiële waarschuwing uitgegeven over een van de campagnes.

Het fenomeen is enorm in populariteit gestegen, wat we ook terugzien in de populariteit van de zoekresultaten. Dus wat is smishing nou eigenlijk?

De groeiende populariteit van zoekopdrachten voor “smishing” op Google in de afgelopen jaren

Wat is smishing hoe werkt het?

Smishing is phishing die wordt verspreid via sms-berichten in plaats van e-mail, en vandaar ook de naam: smishing = sms + phishing. Sommige classificaties delen phishing via berichten-apps in bij smishing, maar wij beschouwen dit als een aparte categorie die we hier nu niet zullen bespreken.

Het doel is net als bij elke andere phishing-poging om de ontvanger ervan te verleiden tot het afstaan van gevoelige informatie, zoals bijvoorbeeld hun wachtwoord voor online bankieren of de gegevens van hun bankpas. Om dat te doen, sturen de scammers sms-berichten, vaak over een zogenaamd probleem — een mislukte bezorging, een onbetaalde rekening, een geblokkeerd account — dat de ontvanger kan oplossen door op een link te klikken. Daarna kan het twee kanten op gaan:

  • In scenario 1 wordt het apparaat van het slachtoffer geïnfecteerd met malware vermomd als een legitieme applicatie, waarvan het belangrijkste doel is om belangrijke informatie op te vragen;
  • In scenario 2 wordt het slachtoffer naar een website doorverwezen die is vermomd als een legitieme website, waar ook weer belangrijke informatie wordt opgevraagd.

De keuze van het scenario hangt in feite af van waar de scammer zich het beste bij voelt: malware of nepwebsites. Het resultaat voor het slachtoffer blijft hetzelfde. Vergelijkbare scams hebben geleid tot de diefstal van duizenden dollars, euro’s en ponden. Waarom is sms-phishing de laatste tijd zo populair geworden en waarom is het gevaarlijker dan gewone phishing?

Wat maakt smishing gevaarlijker dan gewone phishing?

De meeste van ons zijn inmiddels wel gewend geraakt aan e-mail-phishing, en de meerderheid weet wel hoe deze trucs kunnen worden herkend en vermeden. Sms-berichten vormen een onverwachter kanaal voor oplichting, dus mensen zullen minder snel denken dat zo’n kort berichtje een scam kan zijn.

En hoewel mensen sms’jes over het algemeen eerder vertrouwen, zijn ze eigenlijk minder veilig dan e-mail. Vandaag de dag heeft elke redelijke e-maildienst wel een intelligente ingebouwde spamfilter. Deze filters zijn niet perfect, maar scammers moeten steeds weer met nieuwe tactieken komen om ze te kunnen omzeilen. Helaas laten de spamfilters van mobiele providers vaak nog een hoop te wensen over als het gaat om flexibiliteit en precisie.

Mensen lezen hun sms’jes vaak ook terwijl ze onderweg zijn of ergens anders mee bezig zijn. In combinatie met het feit dat men minder bewust is van het gevaar bij sms’jes, betekent dit dat ze minder goed opletten en dat een aanval meer kans van slagen heeft. In andere woorden: als mensen een sms ontvangen, vergeten ze hoogstwaarschijnlijk hun mentale checklist van waarschuwingssignalen en klikken ze zo verder.

Tenslotte zijn er in een sms veel minder tekenen te vinden die u zouden kunnen helpen een scam te herkennen. Als u een e-mail ontvangt, kunt u naar het adres van de verzender kijken, het ontwerp en de lay-out beoordelen en zien hoe plausibel het bericht in het algemeen is. Kortom: u kunt op zoek gaan naar de gebruikelijke alarmsignalen.

In het geval van sms-berichten lijken zelfs legitieme berichten erg op elkaar, met korte berichten die vaak niet-standaard taal gebruiken en waar van design geen sprake is. Scammers met de juiste technische vaardigheden kunnen de informatie van de verzender eenvoudig spoofen en het echte verzendnummer vervangen door een nepnummer.

Hoe u zich tegen smishing beschermt

Net als bij traditionele phishing moet u een sterke verdediging tegen smishing hebben.

  • Klik niet op links en deel uw informatie niet in een tekstbericht. Als vuistregel geldt: hoe minder activiteit, hoe beter;
  • Gebruik tweestapsverificatie als dat mogelijk is. Op die manier hebben criminelen nog altijd weinig aan uw gestolen wachtwoord.
  • Neem onmiddellijk contact op met uw bank als u denkt dat criminelen mogelijk toegang tot uw rekening hebben verkregen. De bank kan uw bankpassen bevriezen, uw wachtwoorden wijzigen en u vertellen welke verdere stappen moeten worden ondernomen.

We sluiten af met een paar FAQs om eventuele blijvende vragen te beantwoorden.

Moet ik op frauduleuze berichten reageren zodat ze me van hun mailinglist verwijderen?

Nee. Het reageren op zo’n bericht dient als bevestiging dat uw telefoonnummer actief is. Uzelf afmelden kan al moeilijk zijn bij legitieme bedrijven; verwacht dus ook zeker geen eerlijkheid van mensen die de wet overtreden.

Wat als het geen smishing is maar een belangrijk bericht van mijn bank?

Als u twijfelt, neem dan rechtstreeks contact op met uw bank. Het is onwaarschijnlijk dat zij dit bericht naar u hebben verzonden. Maar over het contact opnemen met uw bank gesproken: zorg ervoor dat u het telefoonnummer via een officiële bron verkrijgt, zoals hun website. Wat u ook doet: gebruik geen contactgegevens uit het verdachte sms-bericht.

Bestaat er een manier om phishing via sms-berichten automatisch te filteren?

Natuurlijk! Tal van beveiligingsoplossingen gebruiken al lange tijd ingebouwde filters om verdachte links in sms’jes en berichten-apps te herkennen, u hierover te waarschuwen en ervoor te zorgen dat u geen geld verliest omdat u even niet op uw hoede was. U profiteert bijvoorbeeld van dit soort filters in Kaspersky Internet Security for Android.

Tips