Wat is smishing? Een handleiding over sms-phishing

Begrijpelijke informatie over smishing-aanvallen zodat u deze kunt detecteren en voorkomen.

Credential stuffing-aanvallen kunnen privé- en zakelijke gegevens ernstig risico laten lopen. Hier bekijken we in detail credential stuffing-aanvallen, hoe u ze kunt detecteren, hoe u zich ertegen kunt beschermen en waarom ze zo'n grote bedreiging vormen voor zowel bedrijven als individuen.

Sms-phishing-aanvallen of 'smishing' komen steeds vaker voor. Hoe meer u weet over smishing-aanvallen, wat ze kunnen doen en wat de mogelijke risico's zijn, hoe makkelijker het wordt om te identificeren en te voorkomen dat er schade wordt toegebracht.

In deze eenvoudige gids laten we u zien wat smishing is, hoe u het kunt detecteren en hoe u voorkomt dat u slachtoffer wordt van een smishing-aanval.

Wat betekent smishing?

We spreken van smishing (ook wel sms-phishing genoemd) als een aanvaller een neptekstbericht naar uw mobiele nummer stuurt, meestal in de vorm van een aanbieding voor een gratis product of een urgente waarschuwing over uw bankzaken of andere gevoelige gegevens.

Smishing kan vooral een gevaar vormen voor diegenen die weinig van cybersecurity afweten, omdat het tekstbericht heel geloofwaardig overkomt. In sommige smishing-berichten komen zelfs enkele persoonsgegevens voor om nog geloofwaardiger over te komen.

Wat is smishing?
Zo zit een smishing-aanval in elkaar.

Zo zit een smishing-aanval in elkaar.

Smishing-aanvallen worden beschouwd als social engineering-aanvallen omdat ze mensen bewerken via psychologische manipulatie. In de meeste gevallen is het smishing-bericht ontworpen om urgentie te creëren. Berichten kunnen kenmerkende zinnen bevatten zoals 'reageer nu' en 'uw account loopt risico als u niet hier klikt', of 'er worden juridische stappen tegen u genomen als u niet reageert'. Deze berichten kunnen angst aanjagen en uiteindelijk mensen tot actie laten overgaan.

Cybercriminelen krijgen telefoonnummers via gegevenslekken on internet. Als u zich aanmeldt voor een account op een shoppingsite, bijvoorbeeld, geeft u vaak uw e-mailadres, telefoonnummer en andere persoonsgegevens door. Wanneer cybercriminelen de webrecords van deze winkels te pakken krijgen, worden die records vaak verspreid of verkocht op het dark web voor winst. Uw persoonsgegevens worden daarmee ook in het buitenland verspreid.

Mogelijk hebt u uw telefoonnummer ook ingevoerd via een phishing-e-mail of op een andere illegale site, en was het bedrijf erachter in werkelijkheid een cybercrimineel.

Cybercriminelen persen slachtoffers van smishing-aanvallen vaak of voor meer persoonsgegevens of zelfs geld, in sommige gevallen. Belastingfraude komt vaak voor en slachtoffers maken wel duizenden euro's over naar cybercriminelen in de overtuiging dat ze de belastingdienst achter zich aan krijgen als ze dat niet doen.

Het verschil tussen smishing en vishing

Bij smishing en vishing wordt gebruikt gemaakt van een telefoon. Maar in plaats van tekstberichten wordt bij vishing gebruik gemaakt van spraakverkeer. Vishing kan soms effectiever zijn omdat u in feite met een andere persoon spreekt. De toon van het gesprek kan een potentieel drastisch effect hebben. Als u echt gelooft dat u wordt vervolgd als u niet handelt, dan bent u eerder geneigd de gegevens door te geven die de aanvaller van u vraagt.

Het verschil tussen smishing en vishing

Zo kunt u een smishing-aanval detecteren.

Smishing-aanvallen komen regelmatig voor. Dit zijn een paar voorbeelden waarvoor u moet oppassen.

  • "Gefeliciteerd! U hebt gewonnen!" Dit is een algemeen bekend smishing-bericht waarbij het slachtoffer denkt dat hij of zij een geldprijs heeft gewonnen. Via de link of het telefoonnummer in het bericht worden eerst nog meer persoonsgegevens van u gevraagd. Als u niet aan die wedstrijd hebt meegedaan, dan hebt u waarschijnlijk ook niets gewonnen.
  • Een tekstbericht dat op een ongebruikelijke tijd wordt verstuurd. De meeste bedrijven zijn werkzaam tussen 8 uur 's ochtends en 6 uur 's avonds. Als u dus heel laat of heel vroeg een bericht ontvangt van een "legitieme" organisatie, dan moet u op uw hoede zijn.
  • Een urgent bericht van uw bank. Uw bank zal u altijd persoonlijk benaderen in geval van een urgent verzoek of een fout. En de bank zal uw informatie altijd eerst verifiëren. Als u dus een urgent tekstbericht van uw bank ontvangt, kunt u beter zelf uw bank bellen om dit te verifiëren.
  • Fouten in spelling en grammatica. Legitieme organisaties maken gebruik van editors en ervaren schrijvers. Als u in een tekstbericht fouten in de spelling of grammatica tegenkomt, dan duidt dit op een vals bericht.
  • Gebruik een VPN. VPN's zijn legitieme services waarmee u uw IP-adres kunt maskeren en voorkomen dat nieuwsgierige aagjes uw daadwerkelijke locatie en webactiviteiten zien, zelfs op uw telefoon. Zo kunt u mogelijk smishing-berichten identificeren, met name als u er een ontvangt die verwijst naar een onjuiste locatie die wordt gespoofd door uw VPN. Soms profiteren cybercriminelen ook van de vraag naar VPN's en sturen 'gratis' aanbiedingen of met 'korting' voor VPN-services via sms.

Zo voorkomt u dat u slachtoffer wordt van smishing.

  • Gebruik een wachtwoordbeheerder zoals Keeper om wachtwoorden voor al uw accounts veilig op te slaan en beheren. Schakel altijd 2FA- of MFA-bescherming in om onbevoegde toegang te voorkomen.
  • Bel nooit het telefoonnummer op dat in een mogelijk nepbericht staat. Als het bericht van uw "bank" afkomstig is, bel dan naar het u bekende banktelefoonnummer om dit te verifiëren.
  • Bel rechtstreeks met het bedrijf via de gegevens op hun officiële website in geval u vragen heeft. Let op mogelijke tekenen van oplichterij op de website.
  • Klik nooit op ongevraagde links in tekstberichten. Als u geen tekstbericht verwacht, klik dan ook niet op een vreemde link.
  • Meld pogingen tot smishing via efraudprevention.net, de Belastingdienst of uw eigen bank.

Keeper beschermt u en uw gezin tegen de meeste alomtegenwoordige cyberbedreigingen.

Nederlands (NL) Bel ons