icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
Ga naar hoofdinhoud

Phishing via sms

Phishing via sms is in opkomst. Lees hoe je valse linkjes herkent, welke trucs criminelen gebruiken en wat je kunt doen als je er ingetrapt bent.
Ronald Kamp_S

Ronald Kamp     Expert Auto, Fiets & Reizen Bijgewerkt op: 14 december 2022

phising

Wat is phishing via sms?

Phishing via sms is misschien niet nieuw, maar lijkt pas sinds enkele jaren toe te nemen. Veel mensen denken bij nepberichtjes vooral aan e-mail of social media. Daarom gaan de alarmbellen bij een sms'je niet altijd af.

Let vooral goed op de link in het bericht. Een sms met linkje is sowieso verdacht. Vul nooit inloggegevens of betaalgegevens nadat je op een linkje in een sms hebt geklikt.

Hoe werkt phishing via sms?

Bij phishing proberen criminelen je betaalgegevens of persoonlijke gegevens te achterhalen. Vaak met nepsites waar ze je naartoe leiden. Let bij sms'jes vooral op de linkjes waar je op moet klikken. Bevat het linkje niet het echte webadres van een bedrijf of de organisatie, klik dan niet zomaar.

Een valse of nagemaakte website herken je aan het nep-webadres (ook wel nep-url) in de sms. In een sms'je staat altijd de volledige url. Dit in tegenstelling tot phishing via e-mail, waar de linktekst af kan wijken van de daadwerkelijk gelinkte website.

Het telefoonnummer waar het sms'je vandaan komt, kan worden vervalst (gespooft). Het zegt dus niets over of een sms echt is. 

Wat moet je nooit doen?

  • Klik nooit op een linkje in een sms. Helemaal niet als je niet zeker weet of dit naar een officiële website leidt.
  • Vul op een website achter het linkje niet zomaar inloggegevens in, zoals wachtwoorden.
  • Vul nooit betaalgegevens in, zoals je creditcardnummer. Ook niet als het alleen ter bevestiging is.

Twijfel je? Neem dan contact op met de (zogenaamde) afzender van het sms'je.

veilig-internetten-phishing-sms-rabobankVoorbeelden van phishing-sms'jes

We hebben bijvoorbeeld phishing-sms'jes gezien van:

  • De Rabobank, bijvoorbeeld omdat je een nieuwe pas moeten aanvragen.
  • De ING-bank, om te voorkomen dat de bank je rekening opschort.
  • Gewijzigde of gemiste pakketleveringen. Of dat je voor een pakket alleen nog verzendkosten hoeft te betalen.
  • Winacties, bijvoorbeeld van de nieuwste Samsung Galaxy of iPhone bij de Mediamarkt.

Criminelen kunnen in principe elk bedrijf misbruiken. Als je een sms'je niet verwacht is de kans op phishing behoorlijk groot. Maar je moet ook kritisch zijn als een berichtje wel 'past'. Dan ben je minder op je hoede.

Ben je er toch ingetrapt?

  • Klikken op een linkje in een sms'je levert bijna nooit direct gevaar op. Het gaat pas fout als je op de website daarna wat invult of downloadt.
  • Heb je wachtwoorden ingevuld? Verander deze dan direct. Ook op andere websites waar je hetzelfde wachtwoord gebruikt.
  • Heb je creditcardgegevens ingevuld? Neem dan contact op met je creditcardmaatschappij.
  • Heb je een e-mailadres ingevuld? Dan kun je (meer) spam ontvangen.
  • Persoonlijke gegevens kunnen criminelen ook gebruiken om je daarna te benaderen voor bijvoorbeeld bank spoofing of andere oplichting.

Hoe herken je valse linkjes?

Een phishing-sms herken je aan de valse link in het bericht. Een valse link is een verkeerd webadres. Dit lijkt soms op het echte adres van een bedrijf, maar is net even anders.

Een voorbeeld:

  • Het echte adres is: www.ing.nl
  • Een vals adres is: www.ing.nl-inloggen.tk/login 

Deze 2 lijken heel erg op elkaar, maar het valse webadres eindigt op .tk en niet op .nl. Je wordt op het verkeerd been gezet omdat aan het begin van het valse adres ing.nl staat. Daar eindigt het webadres alleen nog niet.

Linkverkortingsdiensten, zoals bit.ly

In sms'jes worden vaak verkorte linkjes gebruikt. Met deze diensten kun je een ingewikkeld webadres inkorten. Malafide en bonafide gebruiken ze. Twijfel je? Niet klikken.

Via checkjelinkje.nl kun je een verkorte link controleren zonder dat je de achterliggende pagina bezoekt.

Andere phishingtrucs

Naast afwijkende domeinnamen die je kunt opsporen volgens bovenstaande methode, moet je in ieder geval ook nog letten op de volgende trucs van criminelen.

Een webadres dat lijkt op het echte adres:

  • Bijvoorbeeld met een 'typefout' zoals: anbamro.nl
  • Met een toevoeging, zoals: 'paypal-inlog.com' of 'rabobank-scanner.nl'

Een domeinnaam met speciale tekens (punycode)

Er bestaan tekens die op letters uit ons alfabet lijken, maar toch anders zijn. Bijvoorbeeld: Ḳlm.com, onder de Ḳ staat een klein puntje.

Gelukkig werkt dit trucje niet meer in de nieuwste versies van Chrome, Edge en Safari. Maar nog wel in Firefox en andere apps. Check of jouw browser je tegen punycode beschemt. Ga naar https://www.xn--80ak6aa92e.com. Komt er in de adresbalk 'apple.com' te staan, dan is dit niet het geval.

Schrijf je in voor onze gratis e-mails

Blijf op de hoogte van nieuws, acties en tips. Zo bespaar je geld, voorkom je een miskoop én weet je wat jouw rechten zijn als consument.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren. Afmelden kan altijd.