Het gebruik van mobiele apparaten stijgt razendsnel, waardoor cybercriminelen meer focussen op phishing via sms-berichten. Zo werd in 2020 bij een Nederlandse man binnen één dag 1 miljoen euro buit gemaakt.

De Fraudehelpdesk ontving tussen 1 januari tot 19 juli van dit jaar 27.576 meldingen van sms-fraude. Betaalvereniging Nederland zegt dat in mei duizenden telefoons zijn geïnfecteerd in 24 uur tijd. Omdat phishing via sms-berichten veel minder voorkomt én veel mensen denken dat smartphones veiliger zijn dan computers, zijn mensen hier minder bedacht op. Dat maakt deze vorm extra gevaarlijk.

‘Vertrouwde’ afzenders

Kwaadaardige sms’jes lijken afkomstig te zijn van bijvoorbeeld de Belastingdienst, uw bank of een postbedrijf. De sms’jes suggereren dat u een belastingschuld moet afbetalen, een nieuwe pas moet aanvragen of uw bankgegevens moet verifiëren. Of u ontvangt zogenaamd bericht dat u nog verzendkosten moet betalen voor een pakketje. Criminelen kunnen in principe elk bedrijf misbruiken.

Hoe komt het dat u zo’n sms ontvangt?

Criminelen komen meestal aan uw telefoonnummer via een datalek. Uw persoonsgegevens zoals naam, adres, woonplaats en soms zelfs burgerservicenummen zijn dan op straat beland.

Er zijn ook hackers die persoonsgegevens stelen en deze doorverkopen aan andere criminelen. Op het dark web, het deel van internet dat niet rechtstreeks vindbaar is via zoekmachines, bieden criminelen kant-en-klare pakketten aan voor oplichters die zich bezighouden met phishing via sms-berichten.

Wat gebeurt er als u op een link klikt? 

Via de link in het frauduleuze sms’je belandt u op een nepwebsite die u uw gegevens laat invullen. Bijvoorbeeld het wachtwoord van uw internetbankieren of de pincode van uw bankpas. Of u wordt gevraagd om een app, met malware, te downloaden. 

Als u een link ontvangt om een app te downloaden dan is dit geen officiële app uit de appstores van Google of Apple. Op een iPhone kunt u sowieso geen apps buiten de Apple App Store downloaden. Maar ook op een iPhone kunt u gevraagd worden om uw gegevens in te vullen.

Steeds meer FluBot-malware in omloop

De laatste tijd is FluBot-malware steeds meer in omloop. Het bericht bevat een nep-link naar de trackingcode of website van een pakketbezorger. Als u op de link klikt, wordt FluBot op uw Android-telefoon geïnstalleerd. Bijvoorbeeld als een nep-app van een pakketbezorger.

Wanneer u FluBot eenmaal op uw telefoon heeft geïnstalleerd, kan deze via uw contacten andere personen besmetten. Ook vraagt de malware om de beveiligingsinstellingen van uw telefoon te wijzigen. Een variant van FluBot stuurt u een bericht dat er een nieuw voicemailbericht klaarstaat. Het sms’je bevat ook een link naar het zogenaamde voicemailbericht. Als u op de link klikt, wordt u gevraagd een kwaadaardige app te downloaden om het voicemailbericht te beluisteren.

Wat kan de schade zijn?

Het Algemeen Dagblad berichtte over een geval van phishing via sms-berichten waarbij 13.250 euro van een vrouw werd gestolen. In 2020 werd een man uit Noord-Nederland 1 miljoen euro afhandig gemaakt. Afgelopen mei ontvingen honderdduizenden Nederlanders en Belgen een bericht dat ze een app moesten downloaden om een postpakketje te volgen. Deze app bleek FluBot-malware te bevatten, zodat de oplichters konden meekijken in de bankapp van hun slachtoffers.

Herkennen en voorkomen van sms-fraude

  1. Een echt bedrijf of organisatie zal nooit vragen om je gebruikersnaam en wachtwoord.
  2. Het gaat vaak om ‘dringende’ veiligheidswaarschuwingen of berichten dat u binnen 24 uur moet reageren.
  3. Als u iets online bestelt, krijgt u bijna altijd een bevestiging per mail met een link om uw bestelling te volgen. Klik nooit op linkjes in sms’jes over postbestellingen.
  4. Controleer of de link het echte webadres van een bedrijf of de organisatie is. Een valse link bevat een verkeerd webadres. Dat lijkt soms erg veel op het echte adres maar is net even anders. Via checkjelinkje.nl kunt u een link controleren zonder dat u de achterliggende pagina bezoekt.
  5. Vul op een website achter de link nooit zomaar inloggegevens in.
  6. Een bank vraagt nooit om je pincode, gebruikersnaam en wachtwoord. Voer dergelijke betaalgegevens nooit in. Ook niet als het alleen ter bevestiging is. 
  7. Oplichters kunnen een short code gebruiken, een verkort telefoonnummer zoals 4000, maar sms’en ook vaak vanaf een 06-nummer. Een short code is gekoppeld aan een e-mail-naar-tekstdienst waarmee criminelen hun echte nummer verbergen. 
  8. Criminelen kunnen een andere bedrijfsnaam zichtbaar maken in uw sms-app. Zo lijkt het alsof hun sms’je afkomstig is van een betrouwbare organisatie, bijvoorbeeld uw bank of de belastingdienst. Ook kunnen fraudeurs een bericht plaatsen in een echte berichtenconversatie op uw telefoon.
  9. Neem bij twijfel contact op met het bedrijf dat de afzender zegt te zijn van het sms’je.
  10. Installeer beveiligingssoftware, bijvoorbeeld F-Secure SAFE, op uw Android-apparaat.

Wat u moet doen als u er toch bent ingetrapt?

  1. Hebt u wachtwoorden ingevuld? Verander deze direct. 
  2. Hebt u creditcardgegevens of bankgegevens ingevuld? Neem direct contact op met uw creditcardmaatschappij of bank.
  3. Zijn er persoonlijke gegevens buitgemaakt? Wees alert op spoofing. Daarbij doen oplichters zich voor als een medewerker van uw bank, een helpdesk of webwinkel.
  4. Als u een Android-telefoon heeft, kunt u uw telefoon terugzetten naar de fabrieksinstellingen.
  5. Een back-up maken van uw bestanden heeft geen zin meer, omdat deze waarschijnlijk ook al zijn besmet.
  6. Check niet meteen uw bankgegevens via uw smartphone. Criminelen kunnen vaak meekijken. Neem telefonisch contact op met uw bank of via uw computer.
  7. Heeft u geld overgemaakt naar een fraudeur? Doet u dan aangifte bij de politie.
  8. Meld de fraude bij de Fraudehelpdesk. Ook telefonisch bereikbaar op 088 – 7867372.
  9. Op de website van SlachtofferWijzer vindt u nog meer informatie en hulporganisaties.

Deel dit:

Reacties

  1. OOk van je kindedren kan een verzoek komen, dat ze in geldnood zitten! en hun telefoon verloren hebben.

Leave a Reply

Your email address will not be published. Required fields are marked *