Smishing is een phishing-cyberaanval die wordt uitgevoerd via mobiele sms-berichten, ook wel sms-phishing genoemd.
Als variant van phishing worden slachtoffers misleid om gevoelige informatie aan een vermomde aanvaller te geven. Sms-phishing kan worden ondersteund door malware of frauduleuze websites. Het komt voor op veel mobiele sms-platforms, inclusief niet-sms-kanalen zoals op gegevens gebaseerde mobiele messaging-apps.
Zoals de definitie van smishing suggereert, combineert de term 'sms' (short message services, beter bekend als sms'en) en 'phishing'. Om smishing verder te definiëren, wordt het gecategoriseerd als een soort social engineering-aanval, waarbij het vertrouwen van mensen wordt uitgebuit in plaats van technische exploits te gebruiken.
Wanneer cybercriminelen 'phishen', sturen ze frauduleuze e-mails die de ontvanger proberen te misleiden om op een kwaadaardige link te klikken. Smishing gebruikt dus een tekstbericht in plaats van e-mail.
In wezen zijn deze cybercriminelen erop uit om je persoonlijke gegevens te stelen, die ze vervolgens kunnen gebruiken om fraude of andere cybercriminaliteit te plegen. Meestal omvat dit het stelen van geld - meestal van jou, maar soms ook het geld van je bedrijf.
Cybercriminelen gebruiken twee methoden om deze gegevens te stelen:
Smishing-tekstberichten lijken doorgaans afkomstig te zijn van je bank. In het bericht wordt gevraagd om je persoonlijke of financiële gegevens, zoals je rekeningnummer of pincode. Als je deze gegevens verstrekt, geef je dieven in feite je bankrekening in handen.
Naarmate meer mensen hun persoonlijke smartphones gebruiken op hun werk (een trend genaamd 'BYOD' of 'bring your own device'), wordt smishing behalve een dreiging voor consumenten stilaan ook een risico voor bedrijven. Het is dus geen verrassing dat smishing is uitgegroeid tot de grootste vorm van schadelijke tekstberichten.
Cybercriminaliteit gericht op mobiele apparaten neemt toe, net als het gebruik van mobiele apparaten. Afgezien van het feit dat sms'en de belangrijkste functie is van smartphones, maken een paar andere factoren dit tot een bijzonder verraderlijke beveiligingsbedreiging. Laten we, om het uit te leggen, eens kijken hoe smishing-aanvallen werken.
Misleiding en fraude zijn de kerncomponenten van elke sms-phishingaanval. Omdat de aanvaller mogelijke de identiteit van iemand vertrouwd aanneemt, is de kans groter dat je hun verzoek gaat inwilligen.
Via social engineering kunnen smishing-aanvallers de beslissingen van een slachtoffer manipuleren. De drijvende factoren achter dit bedrog zijn drieledig:
Met behulp van deze methoden schrijven aanvallers berichten die een ontvanger ertoe aanzetten actie te ondernemen.
Meestal willen aanvallers dat de ontvanger een URL-link in het sms-bericht opent, waar ze vervolgens naar een phishing-tool worden geleid die hen vraagt hun privégegevens vrij te geven. Deze phishing-tool komt vaak in de vorm van een website of app die zich ook voordoet onder een valse identiteit.
De doelwitten worden op veel manieren geselecteerd, maar zijn meestal gebaseerd op hun aansluiting bij een organisatie of een regionale locatie. Werknemers of klanten van een specifieke instelling, abonnees van mobiele netwerken, universiteitsstudenten en zelfs inwoners van een bepaald gebied kunnen doelwitten zijn.
De vermomming van een aanvaller heeft meestal te maken met de instelling waartoe hij toegang wil krijgen. Het kan echter net zo goed een masker zijn dat hen helpt je identiteit of financiële informatie te verkrijgen.
Met behulp van een methode die bekend staat als spoofing, kan een aanvaller zijn echte telefoonnummer verbergen. Smishing-aanvallers maken soms ook gebruik van goedkope prepaid-wegwerptelefoons of "burners" om de oorsprong van de aanval verder te maskeren. Van aanvallers is bekend dat ze e-mail-to-text-diensten gebruiken als een ander middel om hun nummers te verbergen.
Een aanvaller zal een aanval uitvoeren in een paar belangrijke stappen:
Het smishing-plan van een aanvaller is succesvol zodra ze je privégegevens hebben gebruikt om de geplande diefstal te plegen. Dit doel kan, onder andere, het rechtstreeks stelen van een bankrekening omvatten, maar ook identiteitsfraude om illegaal creditcards te openen of privébedrijfsgegevens te lekken.
Zoals eerder vermeld, worden smishing-aanvallen geleverd via zowel traditionele sms-berichten als andere messaging-apps. Sms-phishing-aanvallen verspreiden zich echter voornamelijk ononderbroken en onopgemerkt vanwege hun misleidende aard.
Smishing-misleiding wordt versterkt doordat gebruikers vals vertrouwen hebben in de veiligheid van sms-berichten.
De meeste mensen kennen de risico's van e-mailfraude. Je hebt waarschijnlijk geleerd om achterdochtig te zijn over algemene e-mails met de tekst "Hallo, kijk eens naar deze link." Het uitsluiten van een authentiek persoonlijk bericht is meestal een belangrijke rode vlag van e-mailspam.
Wanneer mensen bezig zijn op hun telefoon, zijn ze minder op hun hoede. Veel mensen denken dat hun smartphones veiliger zijn dan computers. Maar smartphonebeveiliging heeft beperkingen en kan niet altijd direct bescherming bieden tegen smishing.
Ongeacht de middelen die worden gebruikt, vereisen deze vormen van oplichting uiteindelijk niet veel meer dan je vertrouwen en een beoordelingsfout om te slagen. Als gevolg hiervan kan smishing elk mobiel apparaat aanvallen met sms-mogelijkheden.
Terwijl Android-apparaten de meerderheid op de markt zijn en een ideaal doelwit voor malware-sms-berichten, makeniOS-apparaten evenveel kans om doelwit te worden. De mobiele technologie van Apple iOS heeft een goede reputatie op het gebied van veiligheid, maar geen enkel mobiel besturingssysteem kan op zichzelf beschermen tegen phishingaanvallen. Vooral een vals gevoel van veiligheid kan gebruikers bijzonder kwetsbaar maken, ongeacht het platform.
Een andere risicofactor is dat je een smartphone onderweg gebruikt, en vaak ben je dan snel afgeleid of gehaast. Dit betekent dat je minder goed oplet en zonder na te denken reageert wanneer je een bericht ontvangt waarin wordt gevraagd om bankgegevens of dat een kortingscoupon bevat.
Elke smishing-aanval maakt gebruik van gelijkaardige methoden, maar worden op een andere manier voorgesteld. Aanvallers kunnen een veel verschillende identiteiten en voorwendsels gebruiken om deze sms-aanvallen actueel te houden.
Helaas is een allesomvattende lijst van de soorten smishing bijna onmogelijk vanwege de eindeloze heruitvinding van deze aanvallen. Met behulp van een paar typische voorwendsels kunnen we kenmerken geven om je te helpen een smishing-aanval te herkennen voordat je er slachtoffer van wordt.
Hier volgen enkele veelvoorkomende uitgangspunten van smishing-aanvallen:
COVID-19 smishingscams zijn gebaseerd op legitieme hulpprogramma's ontworpen door overheids-, gezondheidszorg- en financiële organisaties voor herstel van de COVID-19-pandemie.
Aanvallers gebruikten dit om de gezondheid van slachtoffers te manipuleren en de angst voor het plegen van fraude aan te wakkeren. Waarschuwingssignalen kunnen zijn:
Smishing-aanvallen in de financiële dienstverlening worden gemaskeerd als meldingen van financiële instellingen. Bijna iedereen maakt gebruik van bank- en creditcarddiensten, waardoor ze vatbaar zijn voor zowel algemene berichten als berichten van specifieke instellingen. Leningen en investeringen worden in deze categorie vaak gebruikt.
Een aanvaller doet zich voor als een bank of andere financiële instelling voor een ideale vermomming om financiële fraude te plegen. Kenmerken van een smishing via financiële diensten kunnen zijn: een dringend verzoek om je account te ontgrendelen, verzoeken om verdachte accountactiviteit te verifiëren en meer.
Smishing met geschenken suggereert de belofte van gratis diensten of producten, vaak van een gerenommeerde winkelier of ander bedrijf. Dit kunnen weggeefwedstrijden, winkelbeloningen of een aantal andere gratis aanbiedingen zijn. Wanneer een aanvaller je warm maakt met het idee van een 'gratis' aanbod, dient dit als lokmiddel om sneller actie te ondernemen. Tekenen van deze aanval kunnen tijdelijke aanbiedingen zijn of een exclusief geselecteerd zijn voor een gratis cadeaubon.
Bij bevestiging-smishing krijg je een valse bevestiging van een recente aankoop- of factuur voor een dienst. Er kan een link worden gegeven voor een opvolging om je nieuwsgierigheid aan te wakkeren of aan te zetten tot onmiddellijke actie door de angst voor ongewenste kosten. Bewijs van deze scam kan bestaan uit reeksen orderbevestigingsteksten of het ontbreken van een bedrijfsnaam.
Aanvallers van dit soort smishing doen zich voor als de ondersteuningsmedewerker van een vertrouwd bedrijf om je te helpen een probleem op te lossen. Veelgebruikte technologie- en e-commercebedrijven zoals Apple, Google en Amazon zijn doeltreffende vermommingen voor aanvallers in dit uitgangspunt.
Meestal beweert een aanvaller dat er een fout is met je account en geeft hij stappen om dit op te lossen. Het verzoek kan zo simpel zijn als het gebruik van een frauduleuze inlogpagina, terwijl je meer complexere methoden je kunnen vragen om een echte accountherstelcode op te geven in een poging je wachtwoord opnieuw in te stellen. Tekenen van smishing via ondersteuningsdiensten zijn onder meer problemen met facturering, accounttoegang, ongebruikelijke activiteit of het oplossen van een recente klacht als klant.
Aangezien sms beschikbaar is voor bijna iedereen met een mobiele telefoon, komen smishing-aanvallen wereldwijd voor. Hier zijn enkele voorbeelden van smishing-aanvallen waar je moet voor uitkijken.
In september 2020 dook een smishing-campagne op om mensen te lokken hun creditcardgegevens te geven voor een gratis iPhone 12.
Hierbij wordt gebruik gemaakt van een orderbevestiging, waarbij het sms-bericht beweert dat een pakket naar een verkeerd adres werd verzonden. De URL-link in de tekst stuurt doelwitten naar een phishing-tool die zich voordoet als een Apple-chatbot. De tool leidt het slachtoffer door een proces om een gratis iPhone 12 te claimen als onderdeel van een proefprogramma voor vroege aankoop, maar vraagt onvermijdelijk wel creditcardgegevens om de kleine verzendkosten te dekken.
In september 2020 begonnen er meldingen te verschijnen van een sms-scam met valse pakketleveringen via FedEx. Deze smishing-aanval kan proberen je accountgegevens voor verschillende services of je reputatie te stelen
De berichten beginnen met een claim van gemiste of onjuiste pakketbezorging en bevatten een link naar een phishing-tool op de website die zich voordoet als een FedEx- of USPS-weggeefactie. Hoewel het uitgangspunt van deze phishing-sites kan variëren, zijn er veel geïdentificeerd die proberen accountlogins te verzamelen voor services zoals Google.
In april 2020 ontving het Better Business Bureau een toename van het aantal meldingen van imitaties van de Amerikaanse overheid met sms-berichten waarin mensen werden gevraagd een verplichte COVID-19-test te doen via een gelinkte website.
Natuurlijk merkten velen deze scam direct op, aangezien er geen online test voor COVID-19 bestaat. Het uitgangspunt van deze smishing-aanvallen kan echter gemakkelijk evolueren, aangezien misbruik van de publieke angst voor de pandemie een effectieve methode is om slachtoffers te maken.
Het goede nieuws is dat het vrij eenvoudig is om je te beschermen tegen de potentiële gevolgen van deze aanvallen. Je kunt jezelf in feite beveiligen door helemaal niets te doen. De aanval kan in werkelijkheid alleen maar schade aanrichten als je toehapt.
Houd er wel rekening mee dat sms-berichten voor veel handelaars en instellingen een legitiem middel zijn om je te bereiken. Negeer niet alle berichten, maar handel in alle gevallen wel zo veilig mogelijk.
Er zijn een paar dingen om in gedachten te houden om jezelf te beschermen tegen deze aanvallen.
Vergeet niet dat smishing net als phishing via e-mail draait om bedrog. Het gaat om het bedriegen van het slachtoffer om hem of haar zo ver te krijgen op een link te klikken of informatie te geven. De eenvoudigste bescherming tegen deze aanvallen is om helemaal niets te doen. Als je niet reageert, kan een kwaadaardige sms niets doen.
Smishing-aanvallen zijn sluw en je bent er mogelijk al slachtoffer van geweest, daarom moet je een herstelplan hebben.
Neem de volgende belangrijke stappen om de schade van een succesvolle smishing-poging te beperken:
Al deze stappen zorgen helpen je bescherming na een smishing-aanval aanzienlijk. Het melden van een aanval helpt je echter niet alleen te herstellen, maar voorkomt ook dat anderen het slachtoffer worden.
Gerelateerde links: