Overslaan naar hoofdinhoud

NFT: betekenis en definitie

Smishing is een phishing-cyberaanval die wordt uitgevoerd via mobiele sms-berichten, ook wel sms-phishing genoemd.

Als variant van phishing worden slachtoffers misleid om gevoelige informatie aan een vermomde aanvaller te geven. Sms-phishing kan worden ondersteund door malware of frauduleuze websites. Het komt voor op veel mobiele sms-platforms, inclusief niet-sms-kanalen zoals op gegevens gebaseerde mobiele messaging-apps.

Wat is smishing?

Zoals de definitie van smishing suggereert, combineert de term 'sms' (short message services, beter bekend als sms'en) en 'phishing'. Om smishing verder te definiëren, wordt het gecategoriseerd als een soort social engineering-aanval, waarbij het vertrouwen van mensen wordt uitgebuit in plaats van technische exploits te gebruiken.

Wanneer cybercriminelen 'phishen', sturen ze frauduleuze e-mails die de ontvanger proberen te misleiden om op een kwaadaardige link te klikken. Smishing gebruikt dus een tekstbericht in plaats van e-mail.

In wezen zijn deze cybercriminelen erop uit om je persoonlijke gegevens te stelen, die ze vervolgens kunnen gebruiken om fraude of andere cybercriminaliteit te plegen. Meestal omvat dit het stelen van geld - meestal van jou, maar soms ook het geld van je bedrijf.

Cybercriminelen gebruiken twee methoden om deze gegevens te stelen:

  1. Malware: de smishing-URL-link kan je verleiden tot het downloaden van malware (schadelijke software) die zich op je telefoon installeert. Deze SMS-malware kan vermomd zijn als een legitieme app, die je probeert te misleiden om vertrouwelijke gegevens te typen. Deze gegevens worden verzonden naar de cybercriminelen.
  2. Kwaadaardige website: de link in het smishingbericht kan leiden naar een nepsite die je vraagt om gevoelige persoonlijke informatie in te voeren. Cybercriminelen gebruiken aangepaste kwaadaardige sites ontworpen om gerenommeerde sites na te bootsen, waardoor het gemakkelijker wordt om je informatie te stelen.

Smishing-tekstberichten lijken doorgaans afkomstig te zijn van je bank. In het bericht wordt gevraagd om je persoonlijke of financiële gegevens, zoals je rekeningnummer of pincode. Als je deze gegevens verstrekt, geef je dieven in feite je bankrekening in handen.

Naarmate meer mensen hun persoonlijke smartphones gebruiken op hun werk (een trend genaamd 'BYOD' of 'bring your own device'), wordt smishing behalve een dreiging voor consumenten stilaan ook een risico voor bedrijven. Het is dus geen verrassing dat smishing is uitgegroeid tot de grootste vorm van schadelijke tekstberichten.

Cybercriminaliteit gericht op mobiele apparaten neemt toe, net als het gebruik van mobiele apparaten. Afgezien van het feit dat sms'en de belangrijkste functie is van smartphones, maken een paar andere factoren dit tot een bijzonder verraderlijke beveiligingsbedreiging. Laten we, om het uit te leggen, eens kijken hoe smishing-aanvallen werken.

Hoe werkt Smishing?

Misleiding en fraude zijn de kerncomponenten van elke sms-phishingaanval. Omdat de aanvaller mogelijke de identiteit van iemand vertrouwd aanneemt, is de kans groter dat je hun verzoek gaat inwilligen.

Via social engineering kunnen smishing-aanvallers de beslissingen van een slachtoffer manipuleren. De drijvende factoren achter dit bedrog zijn drieledig:

  1. Vertrouwen: door zich voor te doen als legitieme personen en organisaties verlagen cybercriminelen het wantrouwen van hun doelwit. Sms-berichten zijn een persoonlijker communicatiekanaal en verlagen natuurlijk ook de verdediging van een persoon tegen bedreigingen.
  2. Context: door een situatie te gebruiken die relevant kan zijn voor doelwitten, kan een aanvaller een effectieve vermomming bouwen. Het bericht voelt persoonlijk aan, zodat het niet wordt verdacht van spam.
  3. Emotie: door de emoties van een doelwit te verhogen, kunnen aanvallers het kritische denken van hun doelwit negeren en hen aansporen tot snelle actie.

Met behulp van deze methoden schrijven aanvallers berichten die een ontvanger ertoe aanzetten actie te ondernemen.

Meestal willen aanvallers dat de ontvanger een URL-link in het sms-bericht opent, waar ze vervolgens naar een phishing-tool worden geleid die hen vraagt hun privégegevens vrij te geven. Deze phishing-tool komt vaak in de vorm van een website of app die zich ook voordoet onder een valse identiteit.

De doelwitten worden op veel manieren geselecteerd, maar zijn meestal gebaseerd op hun aansluiting bij een organisatie of een regionale locatie. Werknemers of klanten van een specifieke instelling, abonnees van mobiele netwerken, universiteitsstudenten en zelfs inwoners van een bepaald gebied kunnen doelwitten zijn.

De vermomming van een aanvaller heeft meestal te maken met de instelling waartoe hij toegang wil krijgen. Het kan echter net zo goed een masker zijn dat hen helpt je identiteit of financiële informatie te verkrijgen.

Met behulp van een methode die bekend staat als spoofing, kan een aanvaller zijn echte telefoonnummer verbergen. Smishing-aanvallers maken soms ook gebruik van goedkope prepaid-wegwerptelefoons of "burners" om de oorsprong van de aanval verder te maskeren. Van aanvallers is bekend dat ze e-mail-to-text-diensten gebruiken als een ander middel om hun nummers te verbergen.

Een aanvaller zal een aanval uitvoeren in een paar belangrijke stappen:

  • Verspreiding van het sms-bericht als "lokaas" naar de doelwitten.
  • Verkrijgen van de informatie van het slachtoffer via misleiding.
  • Uitvoering van de gewenste diefstal met behulp van de verkregen informatie van de slachtoffers.

Het smishing-plan van een aanvaller is succesvol zodra ze je privégegevens hebben gebruikt om de geplande diefstal te plegen. Dit doel kan, onder andere, het rechtstreeks stelen van een bankrekening omvatten, maar ook identiteitsfraude om illegaal creditcards te openen of privébedrijfsgegevens te lekken.

Wat is smishing?

Hoe wordt smishing verspreid?

Zoals eerder vermeld, worden smishing-aanvallen geleverd via zowel traditionele sms-berichten als andere messaging-apps. Sms-phishing-aanvallen verspreiden zich echter voornamelijk ononderbroken en onopgemerkt vanwege hun misleidende aard.

Smishing-misleiding wordt versterkt doordat gebruikers vals vertrouwen hebben in de veiligheid van sms-berichten.

De meeste mensen kennen de risico's van e-mailfraude. Je hebt waarschijnlijk geleerd om achterdochtig te zijn over algemene e-mails met de tekst "Hallo, kijk eens naar deze link." Het uitsluiten van een authentiek persoonlijk bericht is meestal een belangrijke rode vlag van e-mailspam.

Wanneer mensen bezig zijn op hun telefoon, zijn ze minder op hun hoede. Veel mensen denken dat hun smartphones veiliger zijn dan computers. Maar smartphonebeveiliging heeft beperkingen en kan niet altijd direct bescherming bieden tegen smishing.

Ongeacht de middelen die worden gebruikt, vereisen deze vormen van oplichting uiteindelijk niet veel meer dan je vertrouwen en een beoordelingsfout om te slagen. Als gevolg hiervan kan smishing elk mobiel apparaat aanvallen met sms-mogelijkheden.

Terwijl Android-apparaten de meerderheid op de markt zijn en een ideaal doelwit voor malware-sms-berichten, makeniOS-apparaten evenveel kans om doelwit te worden. De mobiele technologie van Apple iOS heeft een goede reputatie op het gebied van veiligheid, maar geen enkel mobiel besturingssysteem kan op zichzelf beschermen tegen phishingaanvallen. Vooral een vals gevoel van veiligheid kan gebruikers bijzonder kwetsbaar maken, ongeacht het platform.

Een andere risicofactor is dat je een smartphone onderweg gebruikt, en vaak ben je dan snel afgeleid of gehaast. Dit betekent dat je minder goed oplet en zonder na te denken reageert wanneer je een bericht ontvangt waarin wordt gevraagd om bankgegevens of dat een kortingscoupon bevat.

Soorten smishing-aanvallen

Elke smishing-aanval maakt gebruik van gelijkaardige methoden, maar worden op een andere manier voorgesteld. Aanvallers kunnen een veel verschillende identiteiten en voorwendsels gebruiken om deze sms-aanvallen actueel te houden.

Helaas is een allesomvattende lijst van de soorten smishing bijna onmogelijk vanwege de eindeloze heruitvinding van deze aanvallen. Met behulp van een paar typische voorwendsels kunnen we kenmerken geven om je te helpen een smishing-aanval te herkennen voordat je er slachtoffer van wordt.

Hier volgen enkele veelvoorkomende uitgangspunten van smishing-aanvallen:

COVID-19-smishing

COVID-19 smishingscams zijn gebaseerd op legitieme hulpprogramma's ontworpen door overheids-, gezondheidszorg- en financiële organisaties voor herstel van de COVID-19-pandemie.

Aanvallers gebruikten dit om de gezondheid van slachtoffers te manipuleren en de angst voor het plegen van fraude aan te wakkeren. Waarschuwingssignalen kunnen zijn:

  • Contact-tracing waarbij om gevoelige informatie wordt gevraagd (burgerservicenummer, creditcardnummer, enz.)
  • Belastingvoordelen zoals stimuleringscheques.
  • Updates van openbare gezondheidsdiensten.
  • Verzoeken om het bevolkingsregister aan te vullen.

Smishing van financiële diensten

Smishing-aanvallen in de financiële dienstverlening worden gemaskeerd als meldingen van financiële instellingen. Bijna iedereen maakt gebruik van bank- en creditcarddiensten, waardoor ze vatbaar zijn voor zowel algemene berichten als berichten van specifieke instellingen. Leningen en investeringen worden in deze categorie vaak gebruikt.

Een aanvaller doet zich voor als een bank of andere financiële instelling voor een ideale vermomming om financiële fraude te plegen. Kenmerken van een smishing via financiële diensten kunnen zijn: een dringend verzoek om je account te ontgrendelen, verzoeken om verdachte accountactiviteit te verifiëren en meer.

Smishing met geschenken

Smishing met geschenken suggereert de belofte van gratis diensten of producten, vaak van een gerenommeerde winkelier of ander bedrijf. Dit kunnen weggeefwedstrijden, winkelbeloningen of een aantal andere gratis aanbiedingen zijn. Wanneer een aanvaller je warm maakt met het idee van een 'gratis' aanbod, dient dit als lokmiddel om sneller actie te ondernemen. Tekenen van deze aanval kunnen tijdelijke aanbiedingen zijn of een exclusief geselecteerd zijn voor een gratis cadeaubon.

Smishig met facturen of orderbevestigingen

Bij bevestiging-smishing krijg je een valse bevestiging van een recente aankoop- of factuur voor een dienst. Er kan een link worden gegeven voor een opvolging om je nieuwsgierigheid aan te wakkeren of aan te zetten tot onmiddellijke actie door de angst voor ongewenste kosten. Bewijs van deze scam kan bestaan uit reeksen orderbevestigingsteksten of het ontbreken van een bedrijfsnaam.

Klantenservice-smishing

Aanvallers van dit soort smishing doen zich voor als de ondersteuningsmedewerker van een vertrouwd bedrijf om je te helpen een probleem op te lossen. Veelgebruikte technologie- en e-commercebedrijven zoals Apple, Google en Amazon zijn doeltreffende vermommingen voor aanvallers in dit uitgangspunt.

Meestal beweert een aanvaller dat er een fout is met je account en geeft hij stappen om dit op te lossen. Het verzoek kan zo simpel zijn als het gebruik van een frauduleuze inlogpagina, terwijl je meer complexere methoden je kunnen vragen om een echte accountherstelcode op te geven in een poging je wachtwoord opnieuw in te stellen. Tekenen van smishing via ondersteuningsdiensten zijn onder meer problemen met facturering, accounttoegang, ongebruikelijke activiteit of het oplossen van een recente klacht als klant.

Voorbeelden van smishing

Aangezien sms beschikbaar is voor bijna iedereen met een mobiele telefoon, komen smishing-aanvallen wereldwijd voor. Hier zijn enkele voorbeelden van smishing-aanvallen waar je moet voor uitkijken.

Vroege aanbieding Apple iPhone 12 - Bevestiging van bestelling en geschenken

In september 2020 dook een smishing-campagne op om mensen te lokken hun creditcardgegevens te geven voor een gratis iPhone 12.

Hierbij wordt gebruik gemaakt van een orderbevestiging, waarbij het sms-bericht beweert dat een pakket naar een verkeerd adres werd verzonden. De URL-link in de tekst stuurt doelwitten naar een phishing-tool die zich voordoet als een Apple-chatbot. De tool leidt het slachtoffer door een proces om een gratis iPhone 12 te claimen als onderdeel van een proefprogramma voor vroege aankoop, maar vraagt onvermijdelijk wel creditcardgegevens om de kleine verzendkosten te dekken.

USPS en FedEx-scams — Orderbevestigingen en geschenken

In september 2020 begonnen er meldingen te verschijnen van een sms-scam met valse pakketleveringen via FedEx. Deze smishing-aanval kan proberen je accountgegevens voor verschillende services of je reputatie te stelen

De berichten beginnen met een claim van gemiste of onjuiste pakketbezorging en bevatten een link naar een phishing-tool op de website die zich voordoet als een FedEx- of USPS-weggeefactie. Hoewel het uitgangspunt van deze phishing-sites kan variëren, zijn er veel geïdentificeerd die proberen accountlogins te verzamelen voor services zoals Google.

Scam met verplichte online COVID-19-test — COVID-19-smishing

In april 2020 ontving het Better Business Bureau een toename van het aantal meldingen van imitaties van de Amerikaanse overheid met sms-berichten waarin mensen werden gevraagd een verplichte COVID-19-test te doen via een gelinkte website.

Natuurlijk merkten velen deze scam direct op, aangezien er geen online test voor COVID-19 bestaat. Het uitgangspunt van deze smishing-aanvallen kan echter gemakkelijk evolueren, aangezien misbruik van de publieke angst voor de pandemie een effectieve methode is om slachtoffers te maken.

Smishing vermijden

Het goede nieuws is dat het vrij eenvoudig is om je te beschermen tegen de potentiële gevolgen van deze aanvallen. Je kunt jezelf in feite beveiligen door helemaal niets te doen. De aanval kan in werkelijkheid alleen maar schade aanrichten als je toehapt.

Houd er wel rekening mee dat sms-berichten voor veel handelaars en instellingen een legitiem middel zijn om je te bereiken. Negeer niet alle berichten, maar handel in alle gevallen wel zo veilig mogelijk.

Er zijn een paar dingen om in gedachten te houden om jezelf te beschermen tegen deze aanvallen.

  • Niet reageren. Zelfs verzoeken om te antwoorden met een sms-bericht "STOP" om je af te melden, kunnen een truc zijn om actieve telefoonnummers te identificeren. Aanvallers zijn afhankelijk van je nieuwsgierigheid of angst voor de situatie, maar je kunt weigeren deel te nemen.
  • Ga niet overhaast te werkt als het bericht dringend is. Zie dringende accountupdates en tijdelijke aanbiedingen altijd als waarschuwingssignalen voor mogelijke smishing. Blijf sceptisch en ga voorzichtig te werk.
  • Bel je bank of handelaar onmiddellijk in geval van twijfel. Legitieme instellingen vragen niet om accountupdates of inloggegevens via sms. Bovendien kunnen dringende meldingen rechtstreeks op je online accounts of via een officiële telefonische hulplijn worden geverifieerd.
  • Vermijd het gebruik van links of contactgegevens in het bericht. Vermijd het gebruik van links of contactgegevens in berichten waar je je ongemakkelijk bij voelt. Ga indien mogelijk rechtstreeks naar de officiële contactkanalen.
  • Controleer het telefoonnummer. Vreemde telefoonnummers, zoals 4-cijferige telefoonnummers, kunnen het bewijs zijn van e-mail-naar-sms-services. Dit is een van de vele tactieken die een oplichter kan gebruiken om je echte telefoonnummer te maskeren.
  • Kies ervoor om nooit creditcardnummers op je telefoon te bewaren. De beste manier om te voorkomen dat financiële informatie uit een digitale portemonnee wordt gestolen, is door deze daar nooit te plaatsen.
  • Meertrapsverificatie gebruiken (MFA) Een gehackt wachtwoord kan toch nog nutteloos zijn voor een smishing-aanvaller als het ingebroken account een tweede methode vereist voor verificatie. De meest voorkomende variant van MFA's is tweefactorauthenticatie (2FA), waarbij vaak een sms-verificatiecode wordt gebruikt. Sterkere varianten zijn onder meer het gebruik van een speciale app voor verificatie (zoals Google Authenticator).
  • Geef nooit een wachtwoord of accountherstelcode op via sms. Zowel wachtwoorden als herstelcodes voor tweefactorauthenticatie (2FA) via sms kunnen je account in verkeerde handen brengen. Geef deze informatie nooit aan iemand anders en gebruik ze alleen op officiële sites.
  • Download een anti-malware-app. Producten zoals Kaspersky Internet Security for Android kunnen bescherming bieden tegen schadelijke apps, maar ook tegen sms-phishinglinks zelf.
  • Meld alle sms-phishingpogingen aan de aangewezen autoriteiten.

Vergeet niet dat smishing net als phishing via e-mail draait om bedrog. Het gaat om het bedriegen van het slachtoffer om hem of haar zo ver te krijgen op een link te klikken of informatie te geven. De eenvoudigste bescherming tegen deze aanvallen is om helemaal niets te doen. Als je niet reageert, kan een kwaadaardige sms niets doen.

Wat doe je als je slachtoffer wordt van smishing?

Smishing-aanvallen zijn sluw en je bent er mogelijk al slachtoffer van geweest, daarom moet je een herstelplan hebben.

Neem de volgende belangrijke stappen om de schade van een succesvolle smishing-poging te beperken:

  1. Meld de vermoedelijke aanval aan alle instellingen die zouden kunnen helpen.
  2. Blokkeer je creditcard om toekomstige of doorgaande identiteitsfraude te voorkomen.
  3. Verander alle wachtwoorden en account-pincodes waar mogelijk.
  4. Controleer je financiën, krediet en verschillende online accounts op vreemde inloglocaties en andere activiteiten.

Al deze stappen zorgen helpen je bescherming na een smishing-aanval aanzienlijk. Het melden van een aanval helpt je echter niet alleen te herstellen, maar voorkomt ook dat anderen het slachtoffer worden.

Gerelateerde links:

Wat is smishing en hoe kun je je ertegen verdedigen?

Er zijn nu wereldwijd meer dan 3,5 miljard smartphonegebruikers. Dit heeft de afgelopen jaren geleid tot een toename van Smishing-aanvallen. Ontdek hoe je jezelf kunt beschermen met deze gids.
Kaspersky Logo