Wat is smishing en hoe bescherm je je bedrijf ertegen?

Waar phishing al sinds 1995 bestaat, is smishing – oftewel phishing via sms – een relatief nieuw fenomeen. Echter: het gebruik van mobiele apparaten stijgt razendsnel, waardoor cybercriminelen meer en meer focussen op mobiele vormen van cybercriminaliteit zoals smishing. Omdat smishing niet zo vaak voorkomt als phishing én veel mensen denken dat smartphones veiliger zijn dan computers, zijn mensen minder bedacht op sms-phishing. Door de opkomst van Bring Your Own Device wordt smishing steeds meer een bedrijfsrisico.

Wat is de betekenis van smishing?

Smishing is een samentrekking van sms en phishing. Phishing is algemeen bekend: daarbij ‘vissen’ cybercriminelen per e-mail naar gevoelige gegevens zoals wachtwoorden, betaalgegevens of pincodes. Smishing werkt volgens hetzelfde principe, alleen dan wordt het phishing-bericht niet verstuurd via e-mail maar per sms.
De voorbeelden van smishing zijn inmiddels talrijk. Het Algemeen Dagblad berichtte over een geval van corona-smishing waarbij een vrouw 13.250 euro verloor. In 2020 werd bij een man uit Noord-Nederland zelfs 1 miljoen euro buitgemaakt via sms-phishing. En afgelopen mei ontvingen honderdduizenden Nederlanders en Belgen een bericht dat ze een app moesten downloaden om een postpakketje te volgen, de app bleek de FluBot-malware te bevatten waarmee criminelen kunnen meekijken in je bank-app.

Hoe kun je smishing herkennen?

Smishing komt voor in allerlei vormen, toch zijn er enkele uniforme tekenen die duiden op oplichting. Je wordt vaak gevraagd om snel te handelen: het gaat vaak om  ‘dringende’ veiligheidswaarschuwingen of dat je binnen 24 uur moet reageren. Het idee daarachter: hoe sneller mensen handelen, hoe minder tijd ze hebben om kritisch na te denken. Het bericht zou afkomstig zijn van bijvoorbeeld de Belastingdienst, je bank of een postbedrijf en suggereert dat je een belastingschuld moet afbetalen, je bankgegevens moet verifiëren of een app moet downloaden om een pakketje te kunnen volgen. 

Kun je smishing herkennen aan het telefoonnummer? Ja en nee. PostNL zal je nooit sms’en vanuit een 06-nummer, dus dat is sowieso verdacht. Oplichters kunnen een short code gebruiken, oftewel een verkort telefoonnummer zoals 4000. Zo’n nummer is dan gekoppeld aan een e-mail-naar-tekstdienst die criminelen hun echte nummer laat verbergen. Nog gehaaider: smishers kunnen ervoor zorgen dat de bedrijfsnaam zichtbaar is in je sms-app. Een smishing-bericht kan soms zelfs worden opgenomen in een legitieme berichtenconversatie op je telefoon.

Zo werkt smishing

Smishing begint vanzelfsprekend altijd met een sms. Daarin kan een linkje staan naar een frauduleuze website, die jou gegevens laat invullen of een app met malware laat downloaden. Een derde manier is de zogeheten hulpvraagfraude of vriend-in-noodfraude: het bericht zou afkomstig zijn van een bekende die geld nodig heeft. Deze fraudevorm komt ook vaak voor op WhatsApp.

Als je een app moet downloaden (die uiteindelijk je gegevens blijkt door te sluizen), dan is dit geen officiële app uit de app stores van Google of Apple. Apps in de stores zijn (in de regel) vrij van malware. Op een iPhone kun je sowieso geen apps buiten de Apple App Store downloaden, op Android-toestellen kan dit wel. Dit wil echter niet zeggen dat je met een iPhone hoe dan ook gevrijwaard blijft van smishing: als je via een sms’je naar een site wordt gestuurd waar je je gegevens moet invullen, kan zowel een onoplettende iPhone- als Android-gebruiker om de tuin worden geleid.

Hoe bescherm je je bedrijf tegen smishing?

Kennis is macht én de beste bescherming tegen smishing. Dankzij trainingen herkennen medewerkers smishing en creëer je bewustzijn. Zorg dat medewerkers op hun hoede zijn voor vreemde telefoonnummers en bedrijven waarmee jullie niks te maken hebben. Bij twijfel moeten ze simpelweg niet op de link klikken en vervolgens het telefoonnummer googelen en/of contact opnemen met de organisatie waarvan het sms’je zou zijn. 

Antivirus op mobiele apparaten herkent bovendien phishing-/smishing-sites (tenzij ze nog niet zijn geblacklist) en detecteert apps met malware. Tot slot: hebben cybercriminelen je accountgegevens voor een specifieke dienst buitgemaakt via smishing? Dan helpen sterke wachtwoorden en tweefactorauthenticatie om al je andere accounts te beschermen.