Sms-phishing ('smishing')

Sms-phishing (of 'smishing') is een vorm van cybercriminaliteit. Bij sms-phishing probeert een cybercrimineel persoonlijke informatie te bemachtigen door je een misleidend sms-tekstbericht te sturen. Dit is strafbaar. Lees in het blauwe vlak op deze pagina hoe je sms-phishing kunt rapporteren

 

Sms-phishing verdient meer aandacht

Phishing via een sms (short message service) is niet nieuw en vindt ook plaats via andere berichtendiensten zoals Whatsapp of Telegram. Graag vragen we extra aandacht voor dit fenomeen omdat het sterk toeneemt deze jaren. Criminele activiteiten verplaatsen zich naar het digitale domein en nu smartphones een belangrijk onderdeel uitmaken van onze (financiële) activiteiten, ligt hier een interessant werkterrein. Sms wordt nog steeds veel gebruikt voor verschillende doeleinden. Hoewel er twijfel is of sms voor al deze doeleinden (nog) wel geschikt is, is de kans groot dat je als ondernemer sms gebruikt voor:

  • tekstberichten;
  • tweefactorauthenticatie (2FA) om ergens in te loggen;
  • berichtgeving vanuit overheid (bijv. NL-Alert, belastingdienst en toegangscodes voor DigiD en eHerkenning);
  • afspraakherinneringen (bijvoorbeeld de servicemonteur die langskomt);
  • statusupdates van verzendingen (bijvoorbeeld verwachte tijdstip van bezorging).

De voorbeelden laten zien dat sms-berichten nog steeds gebruikt worden en ontvangers niet vreemd opkijken wanneer bedrijven, overheden of banken hen via sms benaderen. Criminelen zullen de misleiding daar toepassen waar we sms gebruiken en verwachten.

Sms-phishing herkennen

Het doel van sms-phishing is om de ontvanger te misleiden. Criminelen doen zich daarom vaak voor als een instantie waarvan je een sms zou kunnen verwachten.

Een sms-bericht is van oudsher beperkt in het aantal karakters. Hoewel dit tegenwoordig met smartphones geen merkbaar probleem meer hoeft te zijn, is het niet ongebruikelijk dat een sms-bericht beknopt is waardoor het tekstueel niet altijd makkelijk is een verdacht sms-bericht te herkennen. Toch zijn er een aantal dingen waar je op kunt letten:

  • Vreemd nummer

    Wanneer het nummer van de afzender je onbekend voorkomt en een afwijkende numeriek heeft, dan is de kans groot dat het om sms-phishing gaat.
    Let op: Telefoonnummers kunnen gespooft worden. Of soms is alleen een alfanumerieke afzendernaam zichtbaar is (bijvoorbeeld Belastingdienst). Blijf daarom ook bij bekende afzenders alert.

  • Aparte link(s)

    Bekijk goed hoe de link waar je op moet klikken eruit ziet. Is het adres anders dan je zou verwachten? Soms wordt van verkorte links gebruik gemaakt. Dan is het lastig om te herkennen of je naar een nagebootste omgeving geleid wordt. Check bij twijfel de link eerst via www.checkjelinkje.nl

  • Onverwacht bericht

    Is het logisch dat je een sms-bericht krijgt van deze afzender? Sta je in contact met deze vermoedelijke afzender? Nee? Wees dan extra alert en negeer het bericht. Wees je er bovendien van bewust dat sms-berichten doorgaans informatie zenden. Probeert een bericht je aan te zetten tot een onvoorziene handeling, dan is de kans groot dat het om phishing gaat.

Test je kennis

Hoe goed ben jij in het herkennen van phishing? Test je kennis in de Phishing Quiz of de Fraude Quiz.

Meld sms-phishing

1. Alarmeer de nagebootste afzender

Wordt de identiteit van een organisatie misbruikt, meld het dan bij deze organisatie. Uiteraard niet via het misleidende sms-bericht, maar via authentieke kanalen. Er is vaak een apart meldpunt ingericht. Check eerst deze lijst van veelvoorkomende nagebootste afzenders. Via een 'takedown'-verzoek op basis van copyright kunnen organisaties die vaak nagebootst worden voor deze fraude, sneller zorgen dat de sms-phishingaanval stopt.

2. Meld sms-phishing bij de Fraudehelpdesk

Wanneer je een sms-phishing bericht hebt ontvangen, kun je dit melden bij de Fraudehelpdesk. De Fraudehelpdesk adviseert fraudeslachtoffers en verzamelt de meldingen om anderen te kunnen waarschuwen voor nieuwe fraudevarianten. Vanwege privacywetgeving mag de Fraudehelpdesk geen persoonsgegevens van mogelijke daders aannemen. Het is dus niet mogelijk om een naam of telefoonnummer van de fraudeur door te geven.

3. Doe aangifte bij de politie

De Fraudehelpdesk heeft geen opsporingsbevoegdheden en kan dus niet achter de daders aan gaan. De politie wel. Heeft er (poging tot) misbruik plaatsgevonden via een sms-phishingbericht? Dan kun je aangifte doen bij de Politie.

 

Voorbeeld van een WhatsApp-fraude
Voor aangifte van WhatsApp-fraude heeft de politie een apart formulier.

Betaalverzoekfraude

Let ook op als je iets verkoop via een online marktplaats. Het kan voorkomen dat de koper je vraagt om 1 cent over te maken via een betaalapp. De fraudeur kan je met een valse link leiden naar een nagemaakte betaal website en daar jouw inloggegevens opvangen. Daarmee kan de fraudeur bij je betaalrekening komen en zichzelf verrijken.

Voorkomen van sms-phishing

Er is helaas geen standaardoplossing om als ontvanger sms-phishing te voorkomen. De enige manier om hier invloed op te hebben, is door voorzichtig om te gaan waar je jouw telefoonnummer beschikbaar stelt. Is je telefoonnummer eenvoudig te vinden op je bedrijfswebsite of social media accounts? Wees je ervan bewust dat dit voor kwaadwillenden een gemakkelijke manier is om telefoonnummers te vergaren.

Een andere manier om je telefoonnummer in slechte handen te zien belanden is via een datalek. Deze vinden momenteel bijna dagelijks plaats. De bij een digitale inbraak buitgemaakte klantgegevens worden veelal via online communities (darkweb) doorverkocht aan andere cybercriminelen. Het kan zijn dat jouw telefoonnummer al in handen is van kwaadwillenden. Dat valt niet te voorkomen, maar je alertheid kan jou voor misbruik behoeden.

Voorkom misbruik van je bedrijfsnaam

Verstuur je als ondernemer zelf sms-berichten naar klanten via een bedrijfsapplicatie? Dan is het belangrijk dat jouw bedrijfsnaam en telefoonnummer niet misbruikt worden om malafide berichten mee te versturen (spoofing). De kans is groot dat je voor het verzenden van de sms-berichten een leverancier gebruikt. Bespreek met deze leverancier wat zij kunnen betekenen om dit te voorkomen. Denk hierbij aan verificaties die een leverancier uitvoert op gebruikte telefoonnummers en alfanumerieke afzendernamen.

Andere vorm van phishing ervaren?

Ben jij (of één van je collega's) via een ander digitaal kanaal zoals e-mail of internet lastig gevallen met phishing en heeft je bedrijf daardoor schade opgelopen? Lees hoe je aangifte of melding kunt doen bij de politie en Fraudehelpdesk.

Heb jij de cybersubsidie al aangevraagd?

Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor antivirussoftware, het laten instellen en testen van back-ups, MFA en andere cybermaatregelen.