Wat is smishing en hoe kun je je ertegen verdedigen?

Het is mogelijk dat je een gevaarlijk tekstbericht ontvangt op je smartphone. Zo'n bericht lijkt doorgaans afkomstig te zijn van je bank. In het bericht wordt gevraagd om je persoonlijke of financiële gegevens, zoals je rekeningnummer of pincode. Als je deze gegevens verstrekt, geef je dieven in feite je bankrekening in handen.

Smishing is een porte-manteau van 'sms' (short message services, oftewel tekstberichten) en 'phishing'. Wanneer cybercriminelen 'phishen', sturen ze frauduleuze e-mails die gericht zijn om de ontvanger zo ver te krijgen een bijlage met malware te openen of te klikken op een schadelijke koppeling. Smishing gebruikt dus een tekstbericht in plaats van e-mail.

Wat smishers gebruiken als aas

Smartphones worden zeer veel gebruikt voor tekstberichten. Experian heeft geconstateerd dat volwassen mobiele gebruikers in de leeftijd van 18 tot 24 gemiddeld meer dan 2022 tekstberichten per maand versturen. Dat is 67 per dag. Ze ontvangen er 1831 per maand.

Een paar andere factoren maken dit een buitengewoon verraderlijk beveiligingsrisico. De meeste mensen weten iets van de risico's van e-mailfraude. Je hebt waarschijnlijk wel geleerd op je hoede te zijn voor e-mails met tekst als "Hoi, dit is een coole link" zonder persoonlijke boodschap van de vermeende afzender.

Wanneer mensen bezig zijn op hun telefoon, zijn ze minder op hun hoede. Veel mensen denken dat hun smartphones veiliger zijn dan computers. Maar smartphonebeveiliging heeft beperkingen en kan niet rechtstreeks beschermen tegen smishing. Zoals opgemerkt door WillisWire, groeit de cybercriminaliteit gericht op mobiele apparaten snel, net als het gebruik van mobiele apparaten zelf. Android-apparaten blijven het voornaamste doelwit van malware, omdat er zo veel van zijn en het platform een grotere flexibiliteit biedt voor klanten (en cybercriminelen). Smishing is net als sms zelf echter platformonafhankelijk. Dit brengt iPhone- en iPad-gebruikers in gevaar, omdat ze vaak het gevoel hebben dat ze immuun zijn voor aanvallen. Hoewel de mobiele technologie van Apple iOS een goede reputatie heeft op het gebied van veiligheid, kan geen enkel mobiel besturingssysteem op zichzelf beschermen tegen phishingaanvallen. Een andere risicofactor is dat je een smartphone onderweg gebruikt, en vaak ben je dan snel afgeleid of gehaast. Dit betekent dat je minder goed oplet en zonder na te denken reageert wanneer je een bericht ontvangt waarin wordt gevraagd om bankgegevens of dat een kortingscoupon bevat.

Wat smishers willen

In een notendop zijn ze net als de meeste cybercriminelen uit op het stelen van je persoonlijke gegevens, die zij vervolgens kunnen gebruiken om geld te stelen, meestal van jou, maar soms ook van je bedrijf. Cybercriminelen gebruiken twee methoden voor het stelen van deze gegevens. Zij kunnen je ertoe misleiden malware te downloaden die zichzelf installeert op je telefoon. Deze malware kan zijn vermomd als een legitieme app, die je probeert te misleiden om vertrouwelijke gegevens te typen. Deze gegevens worden verzonden naar de cybercriminelen. Een andere methode is dat het smishingbericht je naar een nepwebsite leidt waar je wordt gevraagd gevoelige persoonlijke gegevens op te geven die de cybercriminelen kunnen gebruiken om je online identiteit te stelen.

Naarmate meer mensen hun persoonlijke smartphones gebruiken op hun werk (een trend genaamd 'BYOD' of 'bring your own device'), wordt smishing behalve een dreiging voor consumenten stilaan ook een bedrijfsrisico. Het mag dus geen verrassing heten dat volgens Cloudmark smishing is uitgegroeid tot de grootste vorm van schadelijke tekstberichten.

Bescherm jezelf

Het goede nieuws is dat het vrij eenvoudig is om je te beschermen tegen de potentiële gevolgen van deze aanvallen. Je kunt in feite jezelf beveiligen door helemaal niets te doen. De aanval kan alleen maar schade aanrichten als je toehapt. Er zijn een paar dingen om in gedachten te houden om jezelf te beschermen tegen deze aanvallen.

• Je moet dringende beveiligingswaarschuwing en couponcodes en aanbiedingen in de trant van 'wees er snel bij' beschouwen als tekenen van een hackpoging.
• Geen enkele financiële instelling of verkoper stuurt je een sms-bericht waarin je wordt gevraagd je accountgegevens bij te werken of je pincode te bevestigen. Als je een bericht krijgt dat lijkt te zijn verzonden van je bank of een verkoper waar je iets hebt gekocht en je wordt gevraagd ergens op te klikken, is het een valstrik. Neem direct contact op met je bank of de verkoper als je twijfelt.
• Klik nooit op een antwoordlink of telefoonnummer in een bericht waar je over twijfelt.
• Kijk naar verdachte nummers die er niet uitzien als echte mobiele telefoonnummers, zoals '5000'. Zoals Network World opmerkt, zijn deze nummers gekoppeld aan e-mail-naar-tekstservices die soms door oplichters worden gebruikt om hun werkelijke telefoonnummers niet te hoeven opgeven.
• Bewaar geen creditcard- of bankgegevens op je smartphone. Als de informatie er niet is, kunnen dieven die ook niet stelen, zelfs niet als ze malware op je telefoon hebben gezet.
• Laat je niet verleiden en reageer gewoon niet.
• Meld alle smishingaanvallen aan de FCC om te proberen andere mensen ertegen te behoeden.

Vergeet niet dat smishing net als phishing per e-mail draait om bedrog. Het gaat om het bedriegen van het slachtoffer om hem of haar zo ver te krijgen op een link te klikken of informatie te geven. De eenvoudigste bescherming tegen deze aanvallen is om helemaal niets te doen. Zolang je niet reageert, kan een schadelijke tekst niets doen. Negeer het bericht en het zal verdwijnen.