‘Zo dom!’
Freelance-journalist Suus Boschloo, die onder andere bij 3FM werkt, trapte in zo’n smsje. Ze klikte op een linkje en vulde haar gebruikersnaam en wachtwoord in van creditcardverstrekker ICS. De gegevens gingen echter niet naar dat bedrijf, maar naar een oplichter.
“Als ik het nu lees, denk ik: ik was zo dom!”, zegt Boschloo. “Maar het bericht kwam in de lijst met sms’jes van mijn creditcardmaatschappij.”
Dat kan doordat aanvallers de afzender van het bericht vervalsen, waardoor het lijkt alsof het afkomstig is van een legitieme afzender.
“Er zijn online-diensten waarmee je valse sms-berichten kunt versturen, dat is echt supersimpel”, zegt ethisch hacker Rik van Duijn. Telefoons en telecomnetwerken controleren namelijk niet of de opgegeven afzender van een sms’je wel klopt.
Eerder meldde RTL Nieuws dat het kabinet het vervalsen van berichten wil aanpakken; het is nu al verboden, maar dat blijkt lastig te handhaven.
Op tijd
Boschloo was er op tijd bij: ze merkte dat na een paar dagen iemand – waarschijnlijk de verzender van het sms’je – het telefoonnummer dat aan haar account was gekoppeld, had gewijzigd. “Toen belde ik met ICS en werd mijn creditcard geblokkeerd, voordat er geld af was gehaald. Ik kreeg wel op mijn kop: hoe ik zo dom kon zijn geweest, vroegen ze.”
Hoeveel mensen wél geld kwijtraken door sms-phishing – door banken ook wel ‘smishing’ genoemd – is niet bekend. Maar binnen phishing wordt sms-phishing een steeds grotere categorie.
Bovendien verwacht de Betaalvereniging dat er dit jaar weer meer schade zal zijn door phishing. Vorig jaar steeg het aantal phishing-gevallen na jaren van daling ook al. In veel gevallen vergoeden banken de schade.
