Het succes van Smishing

Gepubliceerd op 14 mei 2021 om 07:00

Nu smishing helemaal in is, maken de media in de Verenigde StatenItalië en Brazilië melding van tal van alarmerende verhalen over nieuwe scams. De Duitse politie heeft zelfs een officiële waarschuwing uitgegeven over een van de campagnes.

Het fenomeen is enorm in populariteit gestegen, wat we ook terugzien in de populariteit van de zoekresultaten. Dus wat is smishing nou eigenlijk?

De groeiende populariteit van zoekopdrachten voor “smishing” op Google in de afgelopen jaren

SMS phishing

Smishing is phishing die wordt verspreid via sms-berichten in plaats van e-mail, en vandaar ook de naam: smishing = sms + phishing. Sommige classificaties delen phishing via berichten-apps in bij smishing, maar wij beschouwen dit als een aparte categorie die we hier nu niet zullen bespreken.

Het doel is net als bij elke andere phishing-poging om de ontvanger ervan te verleiden tot het afstaan van gevoelige informatie, zoals bijvoorbeeld hun wachtwoord voor online bankieren of de gegevens van hun bankpas. Om dat te doen, sturen de cybercriminelen sms-berichten, vaak over een zogenaamd probleem — een mislukte bezorging, een onbetaalde rekening, een geblokkeerd account — dat de ontvanger kan oplossen door op een link te klikken. Daarna kan het twee kanten op gaan:

  • In scenario 1

Wordt het apparaat van het slachtoffer geïnfecteerd met malware vermomd als een legitieme applicatie, waarvan het belangrijkste doel is om belangrijke informatie op te vragen.

  • In scenario 2

Wordt het slachtoffer naar een website doorverwezen die is vermomd als een legitieme website, waar ook weer belangrijke informatie wordt opgevraagd.

De keuze van het scenario hangt in feite af van waar de cybercrimineel zich het beste bij voelt: malware of nepwebsites. Het resultaat voor het slachtoffer blijft hetzelfde. Vergelijkbare scams hebben geleid tot de diefstal van duizenden dollars, euro’s en ponden. Waarom is sms-phishing de laatste tijd zo populair geworden en waarom is het gevaarlijker dan gewone phishing?

Succes smishing

De meeste van ons zijn inmiddels wel gewend geraakt aan e-mail-phishing, en de meerderheid weet wel hoe deze trucs kunnen worden herkend en vermeden. Sms-berichten vormen een onverwachter kanaal voor oplichting, dus mensen zullen minder snel denken dat zo’n kort berichtje een scam kan zijn.

En hoewel mensen sms’jes over het algemeen eerder vertrouwen, zijn ze eigenlijk minder veilig dan e-mail. Vandaag de dag heeft elke redelijke e-maildienst wel een intelligente ingebouwde spamfilter. Deze filters zijn niet perfect, maar cybercriminelen moeten steeds weer met nieuwe tactieken komen om ze te kunnen omzeilen. Helaas laten de spamfilters van mobiele providers vaak nog een hoop te wensen over als het gaat om flexibiliteit en precisie.

Mensen lezen hun sms’jes vaak ook terwijl ze onderweg zijn of ergens anders mee bezig zijn. In combinatie met het feit dat men minder bewust is van het gevaar bij sms’jes, betekent dit dat ze minder goed opletten en dat een aanval meer kans van slagen heeft. In andere woorden: als mensen een sms ontvangen, vergeten ze hoogstwaarschijnlijk hun mentale checklist van waarschuwingssignalen en klikken ze zo verder.

Tenslotte zijn er in een sms veel minder tekenen te vinden die u zouden kunnen helpen een scam te herkennen. Als u een e-mail ontvangt, kunt u naar het adres van de verzender kijken, het ontwerp en de lay-out beoordelen en zien hoe plausibel het bericht in het algemeen is. Kortom: u kunt op zoek gaan naar de gebruikelijke alarmsignalen.

In het geval van sms-berichten lijken zelfs legitieme berichten erg op elkaar, met korte berichten die vaak niet-standaard taal gebruiken en waar van design geen sprake is. cybercriminelen met de juiste technische vaardigheden kunnen de informatie van de verzender eenvoudig spoofen en het echte verzendnummer vervangen door een nep nummer of deze van een dienst. (bank, provider, ...)

Beschermen

Net als bij traditionele phishing moet u een sterke verdediging tegen smishing hebben.

  • Klik niet op links en deel uw informatie niet in een tekstbericht. Als vuistregel geldt: hoe minder activiteit, hoe beter;
  • Gebruik tweestapsverificatie als dat mogelijk is. Op die manier hebben criminelen nog altijd weinig aan uw gestolen wachtwoord.
  • Neem onmiddellijk contact op met uw bank als u denkt dat criminelen mogelijk toegang tot uw rekening hebben verkregen. De bank kan uw bankpassen bevriezen, uw wachtwoorden wijzigen en u vertellen welke verdere stappen moeten worden ondernomen.

Bron: rinteln-aktuell.de, ryptoid.com.br, blmagazine.it, localnews8.com, kaspersky.nl

Meer info over Smishing, Phishing of Vishing

Tips of verdachte activiteiten gezien? Meld het hier.

Smishing gerelateerde berichten

Smishing bericht om CoronaMelder-app te downloaden

Het ministerie van Volksgezondheid waarschuwt op Twitter voor een sms (smishing) waarin mensen zogenaamd via een link de CoronaMelder-app kunnen downloaden. Het bericht lijkt afkomstig van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), maar het gaat om oplichting. "Klik niet op de link", aldus het ministerie.

Lees meer »

Phishing verschuift steeds meer naar SMS en WhatsApp

In de eerste helft van 2019 is de schade door fraude in het betalingsverkeer als gevolg van phishing en bankpasfraude met ongeveer een derde toegenomen. Banken rapporteren de afgelopen maanden opvallend veel meldingen van klanten over phishing via mobiele berichtendiensten zoals SMS, WhatsApp en Messenger. Dat blijkt uit de fraudecijfers van Nederlandse banken die Betaalvereniging Nederland en de Nederlandse Vereniging van Banken verzamelen en rapporteren.

Lees meer »