Smishing: zo herken en voorkom je een phishing-aanval via sms!
Kinderen die hun ouders om geld vragen omdat ze ergens zijn gestrand en opeens hun telefoon hebben verloren. Of een sms’je van het Centraal Justitieel Incassobureau dat er nu betaald moet worden. Er is dus een naam voor dit soort fraudepogingen: ‘smishing’.
In dit artikel leggen we je uit wat smishing is, hoe je het herkent en hoe je jezelf ertegen beschermt.
Inhoudsopgave
Wat is smishing?
De term ‘smishing’ is een samentrekking van ‘SMS’ en ‘phishing’. Dat laatste kennen we vooral van spam-mailtjes die proberen jou te verleiden erop te klikken. Het doel van phishing is meestal om je op te lichten. Maar ook bevatten deze mails vaak links naar malware: software om je computer te gijzelen (zodat je moet betalen om hem weer te gebruiken) of om inloggegevens te stelen.
Smishing is dus phishing via sms. Je krijgt een bericht met misleidende inhoud. Bijvoorbeeld van een afzender die je zou moeten vertrouwen. Of van een instantie die je het gevoel geeft dat je wel onmiddellijk iets moet doen.
Postbedrijven willen nog je wel eens via sms benaderen. Ook wordt sms nog veel gebruikt voor tweestapsverificatie. Het blijft dus oppassen wanneer je in je sms-inbox een berichtje krijgt. Vraag je altijd af of je de afzender wel kunt vertrouwen.
Waarschijnlijk sms je zelf nauwelijks meer. Online communicatie is verplaatst naar chat-apps zoals WhatsApp, Messenger en Telegram. Helaas: ook op deze platformen kun je smishing-berichten ontvangen!
Hoe kun je smishing herkennen?
Smishing berichten zijn doorgaans wel als oplichterij te herkennen, als je weet waar je naar moet kijken.
Telefoonnummer klopt niet
Het bericht is verstuurd van een nummer dat je niet kent, maar beweert afkomstig te zijn van een bekende. Bijvoorbeeld ‘van je zoon’. Het bericht zal dan ook een vage verklaring geven waarom het van een ander nummer afkomstig is dan je gewend bent. Meestal wordt gezegd dat diegene een nieuw nummer heeft omdat de oude telefoon stuk is. Niets meer dan een leugen!
Link klopt niet
Het bericht bevat een link waar je op moet klikken en dat er op het eerste gezicht betrouwbaar uitziet, maar bij nadere inspectie geen link is naar de betreffende instantie.
De url van de echte belastingdienst is bijvoorbeeld www.belastingdienst.nl.Een oplichter kan zelf een website registreren die daar qua naam zeer sterk op lijkt. Door het subdomein ‘belastingdienst’ voor een hele andere link te plakken, lijkt het voor het ongeoefende oog alsof het bericht inderdaad naar de site van de belastingdienst leidt.
Spelfouten
Zowel phishing mails als smishing berichten bevatten vaak spelfouten. Dit heeft een reden: de oplichters richten zich bijvoorbeeld op mensen die niet zo taalvaardig zijn en niet goed met computers om kunnen gaan. Deze mensen zullen de fouten niet opmerken.
Daarnaast zijn dit soort praktijken van oorsprong niet van Nederlandse bodem. Buitenlandse cybercriminelen gebruiken gebrekkige vertalingen voor hun berichten, en dat lees je er dan vanaf. Maar ook deze software wordt telkens beter, waardoor de boodschap telkens lastiger van echt te onderscheiden is.
Zogenaamde urgentie
Het bericht zal je ervan proberen te overtuigen om nu te reageren. Anders gebeurt er iets vreselijks (beslaglegging, boetes, etc).
Het idee is dat je er zo van schrikt dat je eerst handelt en dan pas nadenkt. Maar geen enkele officiële instantie zal je via een sms of WhatsApp-bericht benaderen voor een factuur, boete of aanmaning. Dat moet sowieso schriftelijk.
Wat smishers gebruiken als ‘aas’
Smishing maakt misbruik van het feit dat mensen hun telefoon als betrouwbaar en veilig zien. Een binnenkomend tekstbericht dichten we meer waarde toe dan een mailtje, vooral omdat onze mailbox overloopt en we lang niet alles meer bekijken. Een sms of Whatsapp-bericht voelt meteen persoonlijk en urgent. Er ‘is iemand aan de andere kant van de lijn’.
Daarom is het ‘aas’ van smishing op dit moment zoveel sterker dan dat in een e-mail. Een bericht van een ‘bekende’ op de telefoon wekt vertrouwen. Een bericht van een instantie komt direct binnen en geeft een gevoel van urgentie.
Daarnaast weten de meeste mensen niet dat ook je telefoon besmet kan raken met virussen en andere malware. En dat het klikken op links die je niet kent dus ook op je smartphone tot grote ellende kan leiden.
Je vraagt je misschien nog af hoe criminelen eigenlijk aan jouw nummer zijn gekomen. Dat kan op allerlei manieren. De voornaamste: stel je hebt een account bij een webshop en daar heb je je telefoonnummer aan gekoppeld. Vervolgens wordt deze webwinkel gehackt.
Criminelen gaan er met de gestolen accountgegevens – inclusief telefoonnummers – vandoor, er is dan sprake van een datalek. Gevolg is dat jouw nummer op het dark web verhandeld wordt en dat je dus telkens door andere kwaadwillenden gebeld kan worden.
Het verschil tussen smishing en vishing
Smishing is dus sms-phishing. Daarnaast bestaat ‘vishing’, wat een samentrekking is van ‘voice’ en ‘phishing’. Het gaat hierbij om voicemailberichten of zelfs mensen aan de lijn die je proberen op te lichten.
Er zijn hele criminele callcenters aan het werk om nietsvermoedende mensen te bellen alsof ze ‘van Microsoft’ zijn, en hen helpen met een ‘cyberaanval’. Als ze alleen maar even de link willen openen en de instructies van de ‘helpdeskmedewerker’ willen opvolgen.
Hoe kun je smishing voorkomen: 6 tips
Gelukkig zijn er een aantal tips om te voorkomen dat jij of je naasten slachtoffer worden van een smishing-poging.
- Als ‘je kind’ beweert ‘zijn telefoon kwijt te zijn’, bel dan toch even naar het nummer dat je wel kent. Ook kun je even contact opnemen met iemand anders die makkelijk in contact kan komen met je zoon of dochter, om te checken of hij/zij in orde is. Begin daarmee, in plaats van op het chatbericht te reageren.
- Klik NOOIT op links in ongevraagde berichten. Geen enkele officiële instantie zal jou op deze manier benaderen. Het gebeurt gewoon niet. Als de link ‘enkel informatief’ lijkt (dus zonder urgentie) kan het nog steeds smishing zijn. Check dan dus of de URL echt van de betreffende organisatie is, of dat een oplichter gebruik maakt van de ‘subdomeintruc’.
- Als het duidelijk te mooi is om waar te zijn (“Koop een nieuwe MacBook voor slechts 200 euro!”) is het oplichterij.
- Een bericht dat urgentie suggereert is vaak oplichterij. Geen enkele officiële instantie stuurt een aanmaning of laatste waarschuwing via sms. Als er écht iets aan de hand is, krijg je daar een brief over. En zelfs dan is het zaak om altijd contact op te nemen met de betreffende instantie om te vragen wat er precies speelt.
- Als je gaat controleren of het bericht werkelijk van de genoemde instantie is, zoek dan zelf de contactgegevens op de site van de betreffende instantie. De contactgegevens die de oplichter verstrekt zijn uiteraard zeer waarschijnlijk frauduleus.
- Bij de geringste twijfel: hang op, klik weg.
Conclusie
Smishing is een variant op de bekende spam phishing mails. Maar in plaats van dat de oplichterij binnenkomt in je mailbox, krijg je een sms, WhatsApp-bericht of ander chatbericht op je telefoon.
Klik ook hier nooit op ongevraagde links, check of de afzender is wie hij/zij beweert te zijn en bij twijfel klik weg. Het is een misverstand om te denken dat je telefoon veiliger of betrouwbaarder is dan je pc.
Kwaadwillenden proberen betrouwbaar over te komen door je een bericht te sturen en kunnen net zoals bij een pc kwaadwillende software installeren. Wees dus extra waakzaam als je een onverwacht bericht ontvangt. Vooral als de afzender beweert dat het urgent is.
Veelgestelde vragen over smishing
Smishing (‘sms-phishing’) is een poging tot oplichterij: je krijgt een bericht via chat of SMS met als doel jou geld uit de zak te kloppen. Het probleem verplaatst zich de laatste tijd ook naar chatapps zoals WhatsApp.
Smishing herken je aan een onbekend telefoonnummer, links die niet kloppen en aan spelfouten in het bericht. Ook berichten die ‘urgentie’ claimen zijn oplichterij. Geen enkele officiële instantie stuurt je een ‘laatste aanmaning’ via chat.
Een smishing-aanval is als een oplichter smishing berichten stuurt naar een of meerdere ontvangers in de hoop dat iemand op de link klikt of geld overmaakt. Ze komen binnen op je telefoon, in je sms-inbox of via chatapps als WhatsApp en Telegram.
Phishing is het sturen van misleidende e-mails. Smishing is het versturen van misleidende sms-berichten (of via WhatsApp of andere chatsystemen). Vishing is het inspreken van misleidende voicemailberichten of het opbellen van mensen om hen op te lichten.