Phishing via SMS: door banken ook wel 'smishing' genoemd

Phishing via SMS-berichten neemt toe: 'Als ik het nu lees denk ik: ik was zo dom!'

  • Joost Schellevis

    redacteur Tech

  • Joost Schellevis

    redacteur Tech

Steeds meer mensen klagen over phishing via sms-berichten. Sinds februari stijgt het aantal meldingen bij banken, blijkt uit cijfers van de Betaalvereniging. In februari kwamen nog 7000 klachten binnen, tegen 15.000 in september.

"Waarschijnlijk is het aantal meldingen slechts een fractie van het daadwerkelijke aantal verzonden valse sms-berichten", zegt Berend Jan Beugel van de Betaalvereniging.

De sms'jes doen hetzelfde als phishing-mailtjes: de afzender doet zich voor als iemands bank, een creditcardmaatschappij of zelfs de Belastingdienst. In het sms'je staat een link naar een site die probeert om login-gegevens buit te maken.

'Zo dom!'

Freelance-journalist Suus Boschloo, die onder andere bij 3FM werkt, trapte in zo'n smsje. Ze klikte op een linkje en vulde haar gebruikersnaam en wachtwoord in van creditcardverstrekker ICS. De gegevens gingen echter niet naar dat bedrijf, maar naar een oplichter.

"Als ik het nu lees, denk ik: ik was zo dom!", zegt Boschloo. "Maar het bericht kwam in de lijst met sms'jes van mijn creditcardmaatschappij."

Dat kan doordat aanvallers de afzender van het bericht vervalsen, waardoor het lijkt alsof het afkomstig is van een legitieme afzender.

"Er zijn online-diensten waarmee je valse sms-berichten kunt versturen, dat is echt supersimpel", zegt ethisch hacker Rik van Duijn. Telefoons en telecomnetwerken controleren namelijk niet of de opgegeven afzender van een sms'je wel klopt.

Eerder meldde RTL Nieuws dat het kabinet het vervalsen van berichten wil aanpakken; het is nu al verboden, maar dat blijkt lastig te handhaven.

Op tijd

Boschloo was er op tijd bij: ze merkte dat na een paar dagen iemand - waarschijnlijk de verzender van het sms'je - het telefoonnummer dat aan haar account was gekoppeld, had gewijzigd. "Toen belde ik met ICS en werd mijn creditcard geblokkeerd, voordat er geld af was gehaald. Ze vroegen wel nog hoe ik daar in heb kunnen trappen, dat ik had moeten weten dat ze slimme trucjes gebruiken."

Hoeveel mensen wél geld kwijtraken door sms-phishing - door banken ook wel 'smishing' genoemd - is niet bekend. Maar binnen phishing wordt sms-phishing een steeds grotere categorie.

Bovendien verwacht de Betaalvereniging dat er dit jaar weer meer schade zal zijn door phishing. Vorig jaar steeg het aantal phishing-gevallen na jaren van daling ook al. In veel gevallen vergoeden banken de schade.

Lastig te filteren

Waarom phishing via sms toeneemt, is niet precies duidelijk, maar wat meespeelt is dat het lastig is om er iets aan te doen. "Voor providers blijkt het best wel lastig om dit soort valse berichten te filteren, ook vanwege privacybezwaren", zegt directeur Gijs Boudewijn van de Betaalvereniging.

Wel heeft Boudewijn een gouden regel voor wie geen slachtoffer van sms-phishing wil worden. "Klik nooit op een linkje in een sms die zogenaamd afkomstig is van een bank. Want banken zullen nooit een linkje via sms versturen, dat is altijd fraude."

Update, maandag 09:51: In dit artikel stond dat ICS het slachtoffer dom noemde. ICS weerspreekt dat; het artikel is aangepast.

Deel artikel:

Advertentie via Ster.nl