Smishing

Bij smishing – oftewel sms-phishing – proberen cybercriminelen via misleidende sms-berichten informatie van je te ontfutselen. Bedrijfsgegevens of financiële data bijvoorbeeld. Ze doen dit met berichten die afkomstig lijken van banken, overheidsinstanties, bezorgdiensten en andere betrouwbare partijen. Ook via berichten­applicaties als WhatsApp en Telegram vindt deze strafbare vorm van phishing plaats.

Smishing gebeurt op verschillende manieren. Toch komt het in de kern steeds op hetzelfde neer. Je ontvangt een bericht dat afkomstig lijkt van een vertrouwde afzender, met daarin de vraag om actie te ondernemen. Een bekend voorbeeld? Het verhaal dat je pakketje niet afgeleverd kon worden. En het verzoek jouw gegevens via een link te bevestigen. Klik je erop, dan installeer je onbewust schadelijke software op je telefoon. Of je komt op een betrouwbaar lijkende website terecht. Vul je daar persoonlijke informatie in, dan laat je die nietsvermoedend achter bij een crimineel.

Stel: je deelt bedrijfsgevoelige informatie met criminelen. Dan hebben ze waarschijnlijk toegang tot je bankrekeningen, klantgegevens en vertrouwelijke documenten. Dat heeft mogelijk grote gevolgen voor jou. Zowel financieel als op het gebied van reputatie en vertrouwen. Fraudeurs gebruiken de informatie daarnaast vaak om zich als jou of jouw organisatie voor te doen. Zo misleiden ze ook je privécontacten, zakelijke contacten of andere partijen. En ze bieden gegevens op de zwarte markt aan. Met identiteitsfraude, financiële fraude en oplichting tot gevolg.

Je kunt je wapenen tegen smishing. Wees alert op een aantal zaken:

• berichten met een oproep tot directe actie;
• onbekende of vreemd uitziende links of telefoonnummers;
• taalfouten of vreemde formuleringen;
• berichten van bedrijven waar je geen zaken mee doet of klant van bent.

Voorkomen blijft beter dan genezen. Daarom hier een aantal preventieve tips:

• Klik nóóit zomaar op een link in een sms of bericht. Twijfel je over de betrouwbaarheid? Raadpleeg dan www.checkjelinkje.nl.
• Deel geen persoonlijke of bedrijfsgevoelige informatie via sms of berichtenapplicaties.
• Meld verdachte berichten direct bij de organisatie waarvan de naam wordt misbruikt.
• Bespreek smishing met je medewerkers. Maak daarbij afspraken over welke gegevens ze wel en niet mogen delen via hun telefoon.

Op een onbetrouwbare link klikken is zó gebeurd. Net als je gegevens invullen, terwijl je dat achteraf beter niet had kunnen doen. De schade beperk je dan als volgt:

• Neem bij mogelijke financiële schade meteen contact op met je bank.
• Schakel direct met de organisatie waarvan de naam (vermoedelijk) is misbruikt.
• Doe aangifte bij de politie. Ook bij alleen ‘een vermoeden van’.
• Breng de Fraudehelpdesk op de hoogte. Dit om andere mensen en organisaties te waarschuwen.
• Wijzig de wachtwoorden van accounts die mogelijk misbruikt zijn of worden.
• In het geval van een datalek maak je daar binnen 72 uur melding van bij de Autoriteit Persoonsgegevens. Let op: niet alle datalekken zijn meldplichtig, dit kun je hier checken.
• Breng collega's van het voorval op de hoogte. Zij zijn zo ook extra alert op vervolgfraude of verdere verspreiding.