Phishing via sms

Wat is phishing via sms?

Veel mensen denken bij nepberichtjes vooral aan e-mail of social media. Daarom gaan de alarmbellen bij een phishing via sms niet altijd af.

Let vooral goed op de link in het bericht. Een sms met linkje is sowieso verdacht. Vul nooit inloggegevens of betaalgegevens nadat je op een linkje in een sms hebt geklikt. Phishing via sms wordt ook wel smishing genoemd. 

Hoe werkt phishing via sms?

Bij phishing proberen criminelen je betaalgegevens of persoonlijke gegevens te achterhalen. Vaak met nepsites waar ze je naartoe leiden. Let bij sms'jes vooral op de linkjes waar je op moet klikken. Bevat het linkje niet het echte webadres van een bedrijf of organisatie, klik dan niet zomaar.

Een valse of nagemaakte website herken je aan het nep-webadres (ook wel nep-url) in de sms. In een sms'je staat altijd de volledige url. Dit in tegenstelling tot phishing via e-mail, waar de linktekst af kan wijken van de daadwerkelijk gelinkte website.

Het telefoonnummer waar het sms'je vandaan komt, kan worden vervalst (gespooft). Het zegt dus niets over of een sms echt is. 

Wat moet je nooit doen?

• Klik nooit op een linkje in een sms. Helemaal niet als je niet zeker weet of dit naar een officiële website gaat.
• Vul op een website achter het linkje niet zomaar inloggegevens in, zoals wachtwoorden.
• Vul nooit betaalgegevens in, zoals je creditcardnummer. Ook niet als het alleen ter bevestiging is.

Twijfel je? Neem dan contact op met de (zogenaamde) afzender van het sms'je.

Voorbeelden van phishing-sms'jes

We hebben bijvoorbeeld phishing-sms'jes gezien van:

• Banken. Bijvoorbeeld met het bericht dat je een nieuwe pas moet aanvragen. Of om te voorkomen dat je rekening wordt opgeschort.
• Een verdacht transactie of inlogpoging van bij een betaaldienst of webshop.
• Je DigiD is verlopen. Of het bijbehorende telefoonnummer zou niet meer zijn geverifieerd.
• Gewijzigde of gemiste pakketleveringen. Of dat je voor een pakket alleen nog verzendkosten hoeft te betalen.
• Winacties, bijvoorbeeld van de nieuwste Samsung Galaxy of iPhone bij de Mediamarkt.

Criminelen kunnen in principe elk bedrijf misbruiken. Als je een sms'je niet verwacht is de kans op phishing behoorlijk groot. Maar je moet ook kritisch zijn als een berichtje wel 'past'. Dan ben je minder op je hoede.

Ben je er toch ingetrapt?

• Klikken op een linkje in een sms'je levert bijna nooit direct gevaar op. Het gaat pas fout als je op de website daarna wat invult of downloadt.
• Heb je wachtwoorden ingevuld? Verander deze dan direct. Ook op andere websites waar je hetzelfde wachtwoord gebruikt.
• Heb je creditcardgegevens ingevuld? Neem dan contact op met je creditcardmaatschappij.
• Heb je een e-mailadres ingevuld? Dan kun je (meer) spam ontvangen.
• Persoonlijke gegevens kunnen criminelen ook gebruiken om je daarna te benaderen. Voor bijvoorbeeld bank spoofing of andere oplichting.

Valse linkjes in phishing sms herkennen

Een phishing-sms herken je aan de valse link in het bericht. Een valse link leidt niet naar het officiële webadres, de zogenoemde 'domeinnaam' van een bedrijf. Je wordt dan juist doorgeleid naar een andere domeinnaam. Soms moet je goed kijken om het verschil te zien.

Een voorbeeld:

• Het echte adres is: www.ing.nl
• Een vals adres is: www.ing.nl-inloggen.tk/login 
• Een vals adres is: login.rabobank.nl.secure-connect-raboscanner.com

Deze eerste 2 lijken heel erg op elkaar, maar bij het valse kom je eigenlijk bij de valse domeinnaam 'nl-inloggen.tk' terecht en niet op 'ing.nl'. Je wordt dan misleid omdat aan het begin bij beide domeinnamen 'ing.nl' staat. Bij het laatste valse adres ga je niet naar 'rabobank.nl', maar naar 'secure-connect-raboscanner.com'. 

Nog uitgebreidere uitleg over hoe je phishing herkent, lees je in het Digitaalgids-artikel over phishing (pdf, alleen voor leden).

Andere phishingtrucs

Je herkent afwijkende domeinnamen volgens de manier hierboven. Let verder ook op de volgende trucs van criminelen.

Linkverkortingsdiensten, zoals bit.ly

In sms'jes staan vaak verkorte linkjes. Met deze diensten kun je een ingewikkeld webadres inkorten. Malafide en bonafide gebruiken ze. Twijfel je? Niet klikken.

Via checkjelinkje.nl kun je een verkorte link controleren zonder dat je de achterliggende pagina bezoekt.

Een webadres dat lijkt op het echte adres

• Bijvoorbeeld met een 'typefout' zoals: anbamro.nl

Een domeinnaam met speciale tekens (punycode)

Er bestaan tekens die op letters uit ons alfabet lijken, maar toch anders zijn. Bijvoorbeeld: Ḳlm.com, onder de Ḳ staat een klein puntje.

Gelukkig werkt dit trucje niet meer in Chrome, Edge en Safari. Maar nog wel in Firefox en andere apps. Zelf controleren? Ga naar https://www.xn--80ak6aa92e.com. Als er in de adresbalk 'apple.com' te staan, dan beschermt je browser er niet tegen.