Wat is smishing?
De term "smishing" mag dan grappig klinken, maar de betekenis van smishing is minder grappig dan het lijkt. Een smishing-aanval is een type phishing-aanval dat tekstberichten als aanvalsmiddel gebruikt. Het kan vertrouwen op social engineering, kwaadaardige bijlagen en frauduleuze websites om mensen op te lichten.
Een smishing-scam is eenvoudig uit te voeren, moeilijk te traceren en gevaarlijk qua impact. Een succesvolle smishing-aanval kan mogelijk je wachtwoorden, foto's, video's en andere gevoelige gegevens blootstellen aan een oplichter en ook dienen als infectievector voor een malware-drop op je smartphone.
Elke van de miljarden smartphonegebruikers wereldwijd is een potentieel smishing-doelwit. Alleen al in de Verenigde Staten meldde de Federal Trade Commission in 2021 bijna 400.000 fraudeclaims over ongewenste teksten, inclusief smishing-aanvallen. Consumenten meldden dat ze datzelfde jaar meer dan $80 miljoen verloren aan toezichthouders.
Deze gids helpt je om smishing-aanvallen te vermijden en te leren hoe je smishing kunt voorkomen. Lees verder voor meer uitgebreide details over het volgende:
- Smishing definitie: wat is een smishing-aanval in cyberbeveiliging?
- Smishing-voorbeelden
- Smishing vs phishing
- Wat je kunt doen in het geval van een smishing-aanval
- Hoe jezelf te beschermen tegen smishing
Smishing definitie en uitleg
Hier is een korte definitie van smishing: smishing is een type cyberbeveiligingsaanval dat plaatsvindt via short message services (SMS), ook wel bekend als sms'en. Sommige experts definiëren smishing ook als een aanval via elk type tekstbericht, en niet alleen via native mobiele berichtensystemen, zoals berichten op sociale mediaplatforms.
Een eenvoudigere manier om smishing te definiëren is het te beschrijven als een phishing-tekstbericht. Dit leidt tot de vraag: wat is phishing? Nou, phishing is wanneer een dreigingsactor zich voordoet als een vertrouwde entiteit om een doelwit te misleiden tot het maken van een cyberbeveiligingsfout, zoals het delen van vertrouwelijke informatie, meestal via e-mail. Een phishing-tekstbericht, ook bekend als smishing, is phishing via tekst.
Wat is een smishing-aanval?
Een smishing-aanval is wanneer een dreigingsactor kwaadaardige tekstberichten gebruikt om de cyberbeveiliging van een doelwit te doorbreken. Het doel van een smishing-aanval is doorgaans om de volgende vertrouwelijke informatie te verkrijgen voor identiteitsdiefstal of financiële misdrijven:
- Namen
- Adressen
- Gebruikersnamen
- Wachtwoorden
- Creditcardnummers
- Creditcardcodes
- Bankgegevens
Een phishing-tekstaanval kan ook zeer gericht zijn. Wanneer een dreigingsactor het telefoonnummer van een slachtoffer kent, kunnen ze een overtuigende aanval ontwerpen. Bijvoorbeeld, als een oplichter de mobiele nummer van een finance executive aanvalt, kunnen ze een smishing-aanval lanceren die lijkt afkomstig te zijn van een potentiële zakelijke contactpersoon.
Je kunt meer lezen over phishing versus spear phishing versus whaling om meer te leren over de verschillende soorten social engineering-aanvallen die gebruikmaken van tekstberichten als dreigingsvector.
Hoe werkt smishing?
Net als bij phishing, misleidt smishing ons in de veronderstelling dat nepberichten echt zijn, zodat we ermee kunnen omgaan zonder zorgen. Smishing-aanvallen werken door gebruik te maken van enkele of alle volgende kenmerken:
- Context: Smishing-berichten gebruiken context om echt over te komen. Een smishing-bericht kan lijken alsof het van de bank komt, je favoriete winkel, of je overheid. Bijvoorbeeld, IRS-thema smishing scams die persoonlijke en financiële informatie stelen nemen toe omdat ze de context effectief gebruiken om het vertrouwen van een slachtoffer te winnen.
- Doelselectie: Smishing-slachtoffers kunnen geselecteerd worden op basis van demografie en lokale verbondenheden. Bijvoorbeeld, een bende afpersers kan nepsms'en sturen vanuit een financiële instelling die populair is binnen een bepaalde netnummer naar lokale nummers. Of ze kunnen phishing-berichten sturen vanuit een universiteit naar studenten nadat ze telefoonnummers hebben verkregen.
- Social engineering: Een aanval met social engineering manipuleert de emoties van een doelwit, zoals angst, liefde, lust, hebzucht, woede of medeleven, om hun oordeel te vertroebelen. Bijvoorbeeld, een frauduleus bericht dat lijkt van een geliefde te komen, kan een noodgeval veinzen om het slachtoffer om geld te laten overmaken.
- Kwaadaardige bijlagen: Een phishing-sms kan een kwaadaardige bijlage bevatten die lijkt op een afbeelding, video of document, maar in werkelijkheid een virus, adware, spyware, Trojan of ransomware is.
- Kwaadaardige links: Smishing-aanvallen maken vaak gebruik van kwaadaardige links, malware of frauduleuze websites.
Smishing werkt ook door de eenvoud van tekstberichten te benutten. U kunt een phishing-e-mail opsporen door op grammaticale fouten, spelfouten, problemen met de beeldopmaak, vreemde e-mailadressen en andere afwijkingen te letten. Maar sms-berichten zijn meestal korter en bevatten geen grafische elementen zoals bedrijfslogo's.
Een typisch bericht van je bank kan bijvoorbeeld een paar zinnen zijn met een link naar een winkel of een financiële website. In tegenstelling tot een officiële e-mail, is zo'n sms eenvoudig te vervalsen.
Hackers maken minder snel grammaticale fouten wanneer ze een of twee zinnen schrijven in een smishing-aanval. En ze hoeven zich geen zorgen te maken over het nabootsen van logo's om phishing-berichten authentiek te laten lijken. Ze kunnen ook technieken voor Caller ID-spoofing en burner-telefoons gebruiken om hun sporen te verbergen.
Voorbeelden van smishing: Verschillende soorten smishing-aanvallen
- Je hebt een wedstrijd of prijs gewonnen en moet deze claimen.
- Iemand heeft je een cadeau of coupon gestuurd die je moet activeren.
- Je financiële instelling moet je gegevens bevestigen.
- Een wachtende overboeking naar je account vereist jouw toestemming.
- De dure aankoop die je hebt gedaan, moet worden geverifieerd.
- Er is een virus op je telefoon gedetecteerd.
- Je account is geblokkeerd vanwege verdachte activiteiten of ongebruikelijke inlogpogingen.
Smishing vs phishing: Wat is het verschil tussen smishing en phishing?
Smishing en phishing klinken misschien vergelijkbaar, maar ze zijn niet helemaal hetzelfde. Dus, wat is het verschil tussen phishing en smishing? Het grootste verschil in de vergelijking smishing vs phishing is dat smishing SMS gebruikt als aanvalsmiddel, terwijl phishing een verzamelterm is voor elke e-mail, website, tekstbericht, of voicemail die bedrog gebruikt om een doelwit aan te vallen. Met andere woorden, smishing is een type phishing-aanval dat optreedt via een tekstbericht. Het doel van beide aanvallen is om je persoonlijke informatie te verzamelen voor frauduleuze activiteiten. Dus dit is wat beide methoden gemeen hebben.
Wat te doen bij een smishing-aanval
Rapporteer de aanval
Het eerste wat je moet doen is de aanval melden aan de relevante autoriteiten met zoveel mogelijk details. Bijvoorbeeld, als je het doelwit bent van een IRS smishing-aanval, stuur dan een e-mail van de aanval naar phishing@irs.gov met de volgende details:
- Phish beller-ID-nummer.
- Een screenshot van de aanval.
- Een kopie van het bericht als je geen screenshot kunt maken.
- De datum, tijd, tijdzone en het nummer van de ontvanger.
Andere organisaties zijn ook gedwongen te reageren op deze oplichting. Banken en betalingsbedrijven zoals PayPal hebben bijvoorbeeld phishing-meldkanalen geopend. Als je PayPal gebruikt, leer dan hoe je PayPal phishing-e-mails kunt herkennen om je account te beschermen.
Verander alle wachtwoorden
Als je vermoedt dat je het doelwit bent van een smishing-aanval, wijzig dan onmiddellijk al je wachtwoorden en pincodes. Je nieuwe wachtwoord moet complex en uniek zijn. Je kunt onze gids lezen om te leren hoe je een sterk wachtwoord maakt.
Bevries je kaart
Een dreigingsacteur kan proberen je debet- of creditcard te gebruiken nadat hij toegang heeft gekregen tot je gevoelige gegevens. We raden aan om na het wijzigen van je wachtwoorden al je kaarten tijdelijk te bevriezen om financiële fraude te voorkomen. Je kunt je kaart bevriezen door in te loggen op je creditcardaccount of door je financiële instelling te bellen.
Laat ook je creditcardverstrekker weten over de smishing-aanval. Ze kunnen je kaart deactiveren en een nieuwe uitgeven met een andere set cijfers.
Monitor verdere activiteit
Houd je accounts in de gaten voor de volgende soorten verdachte activiteiten:
- Onbekende transacties op je bank- of creditcardrekening.
- Ongebruikelijke inloglocaties voor je accounts.
- Je gevoelige afbeeldingen, video's of sms-berichten lekken uit.
- Vrienden ontvangen verdachte berichten van jou.
- Leningen afgesloten op jouw naam.
- Inschrijving in overheidsprogramma’s voor financiële steun
Ook al merk je meteen geen verdachte activiteiten op, houd alsnog je accounts langdurig in de gaten na een smishing-aanval. Een uitstekende manier om je financiële accounts te controleren op onregelmatigheden is het nakijken van je kredietrapporten.
Volgens de federale wet kun je elk jaar toegang krijgen tot een gratis kredietrapport van een groot kredietbureau. Dat zijn drie gratis rapporten per jaar. En tot en met december 2023 kan iedereen in de Verenigde Staten elke week een gratis kredietrapport krijgen van alle drie de bureaus.
Hoe smishing-berichten te stoppen
Nadat je hebt vastgesteld dat een sms frauduleus is, kun je deze blokkeren op een iOS- of Android-telefoon. Op een iPhone ga je naar de contactpagina en tik je op Blokkeer deze beller. Op een Android-telefoon ga je naar de contactpagina en tik je op Contact blokkeren.
Beide besturingssystemen bieden ook filters waarmee je spam en andere ongewenste berichten kunt blokkeren.
Hoe sms-berichten te filteren op iPhone:
- Ga naar Instellingen.
- Tik op Berichten.
- Veeg de knop naast Filter onbekende afzenders.
Hoe sms-berichten te filteren op Android:
- Ga naar Berichten.
- Tik op de drie stippen om Instellingen te openen.
- Tik op Nummers en berichten blokkeren.
- Activeer Beller-ID en spambeveiliging.
Je mobiele telefoonprovider kan ook anti-smishing tools aanbieden:
• Verizon
• AT&T
• T-Mobile
Hoe jezelf te beschermen tegen smishing
Smishing-aanvallen kunnen complex zijn en maken gebruik van alarmerende taal, kwaadaardige bijlagen, onveilige links en frauduleuze websites om onze cyberbeveiliging te doorbreken. Bescherming tegen smishing vereist paraatheid op meerdere fronten.
Pas op voor dringende berichten
Phishing-berichten kunnen dringend overkomen om te voorkomen dat je nadenkt voordat je reageert. Het eerste dat je moet doen na het ontvangen van een dringend bericht, is diep ademhalen. Evalueer de situatie voordat je reageert. Het is onwaarschijnlijk dat een legitieme instantie om je gevoelige informatie of betaling via sms zal vragen. Als je twijfelt, zoek dan het openbaar genoteerde nummer van de instantie op hun officiële website en bel ze direct.
Bevestig telefoonnummers
Controleer het ID van de beller. Zoek het nummer onder het ID op en zoek het online om te zien of het overeenkomt met de context van het gesprek.
Multi-factor authenticatie
Schakel multi-factor authenticatie (MFA) in op je accounts om ze te beschermen tegen hackers die mogelijk toegang hebben tot je inloggegevens. MFA dwingt gebruikers om hun identiteit op een andere manier te verifiëren wanneer er verdachte activiteiten zijn tijdens een inlogpoging.
Klik niet op links die in het bericht staan.
Smishing-aanvallen kunnen je vragen om dringend een link te openen om te profiteren van een geweldige aanbieding of om belasting aan de IRS te betalen en arrestatie te vermijden. Deze links kunnen je naar kwaadaardige websites leiden die je creditcardgegevens of andere vertrouwelijke informatie stelen. Het is het beste om niet op links in tekstberichten te klikken. Verifieer in plaats daarvan de bron van het bericht.
Reageer niet op onbekende nummers.
Het filteren van oproepen kan je beschermen tegen smishing-aanvallen. Een bericht van een onbekend nummer kan deel uitmaken van oplichting.
Bewaar geen creditcardinformatie op je telefoon.
Voorkom dat je je creditcardgegevens op je telefoon opslaat in de vorm van webformulieren, tekstbestanden of zelfs schermafbeeldingen. Een smishing-aanval die een Trojan of spyware op je apparaat installeert, kan deze informatie gemakkelijk stelen. Herken de malware-tekenen van zo'n aanval. Gebruik daarnaast een gratis antivirus-download om je systeem regelmatig op virussen, ransomware, spyware, adware en Trojans te scannen.
Bel banken voordat je op verzoeken van hen reageert.
Het is niet ongewoon dat banken je sms'en over recente aankopen en kredietlimieten. Maar het is onwaarschijnlijk dat je bank om je gevoelige informatie vraagt voor een overschrijving via sms. Bel altijd je bank om elk verzoek per sms of e-mail te verifiëren.
Deel geen wachtwoordinformatie.
Deel nooit gebruikersnamen en wachtwoorden in sms-berichten, zelfs niet als je de bron vertrouwt. Hackers kunnen deze informatie mogelijk vinden in de verzonden map van je apparaat.
Investeer in antimalware-oplossingen.
Download een cybersecurity-tool voor je telefoon om jezelf te beschermen tegen verschillende soorten aanvallen. Bijvoorbeeld,Malwarebytes voor Android beschermt Android-gebruikers tegen alle soorten malware. Het biedt ook bescherming tegen schadelijke links/websites en phishing. Evenzo beschermt Malwarebytes voor iOS iPhone- en iPad-gebruikers tegen malware, spamcalls, advertenties, scamwebsites en phishingwebsites.
De opkomst van smishing
Zoals eerder vermeld, is er een opmerkelijke toename van phishing via sms. Smishing is een gemakkelijke aanvalsoptie voor oplichters die miljoenen mensen willen treffen die op sms-berichten vertrouwen om te communiceren.
Smishing-misdaden kunnen leiden tot verschillende veiligheids- en privacyproblemen, waaronder identiteitsdiefstal. Experts zeggen dat de gevolgen van identiteitsdiefstal jaren kunnen aanhouden, variërend van verloren tijd, geld, belastingschuld en beschadigd krediet tot een strafblad.
Een proactieve benadering van cyberbeveiliging kan smishing-aanvallen voorkomen. Behandel verdachte sms-berichten met voorzichtigheid en beveilig je apparaat met beveiligingssoftware die het risico van een phishing-aanval vermindert.
Gerelateerd: Wat is RCS-messaging?