Terug naar overzicht

Cybercriminaliteit; van phishing naar smishing

Cybercriminaliteit; van phishing naar smishing

Smishing via uw mobiel: stelen van uw gegevens via sms of social media

Met smishing probeert een cybercrimineel uw persoonlijke - of financiële gegevens te stelen via een sms of berichten van social media (zoals Facebook en Instagram). Dit doen ze door te doen alsof ze uw bank, creditcardmaatschappij, verzekeraar of andere financiële instelling zijn. Lees dit artikel aandachtig door en doe er uw voordeel mee!

De mobiel is onderdeel van ons dagelijks leven

Veel mensen regelen hun geldzaken bij voorkeur online via laptop, mobiel of smartwatch. Dit gaat van het checken van het saldo op de bankrekening tot het openen van een nieuwe rekening of het aanvragen van een creditcard, het is online allemaal zo geregeld. Naarmate meer mensen over de hele wereld smartphones gebruiken, worden we steeds vaker het doelwit van cyberaanvallen. Maar hoe meer we weten over dergelijke kwaadaardige praktijken, hoe beter we onszelf kunnen beschermen.

Wat is smishing?

Smishing is afgeleid van phishing wat ‘hengelen’ naar uw gegevens via e-mail betekent. Met andere woorden: men gooit een visje uit in de vorm van een urgent bericht, in de hoop dat u bijt en uw privegegevens deelt. Denk hierbij aan inloggegevens, creditcardinformatie, pincodes of uw BSN. Hiermee kan identiteitsfraude worden gepleegd zodat u en/of de bank geld afhandig gemaakt kan worden.

Hoe ziet zo’n smishing-bericht eruit?

Smishing-berichten kunnen gaan over gestolen wachtwoorden (‘uw wachtwoord is gehackt, klik hier om een nieuw wachtwoord aan te maken’), deals (‘sluit nu af, deze deal geldt nog 3 uur, klik hier’) of beloningen (‘u krijgt korting, klik hier’) waarvoor u meestal snel moet handelen.

Deze berichten hebben vaak een directe link naar een website waar wordt gevraagd om persoonlijke gegevens in te voeren, bijvoorbeeld uw BSN of uw rekeningnummer en wachtwoord voor internetbankieren. Ook kan worden gevraagd om via een meegestuurde link een bestand te downloaden of een app te installeren (dus niet via de normale weg met behulp van Google Play Store of Apple Store). Om geloofwaardiger te lijken, toont de website vaak het logo, de naam en andere kenmerken van een bank of bedrijf.

Hoe herkent u smishing?

Onthoudt dit: als er gevraagd wordt of u met spoed privegegevens wilt versturen via SMS, social media of e-mail en/of het is een vreemd telefoonnummer of afzender, dan moeten bij u de alarmbellen gaan rinkelen.

Hieronder lopen we de stappen nog eens door:

  1. U wordt tot spoed gemaand;
    Het zijn berichten die urgent lijken, met andere woorden: er is haast bij. Het gaat om een dringende beveiligingswaarschuwing of uw bankpas/betaalkaart verloopt binnen 48 uur of 'je moeder’ staat bij het reisbureau en kan niet betalen. Als er sprake is van spoed moet er bij u een alarmbel gaan rinkelen, bijvoorbeeld als u dringend wordt gevraagd om uw gegevens bij te werken of uw pincode te bevestigen. Wij en andere banken, verzekeraars en de overheid vragen u nooit via sms om uw gegevens bij te werken of om uw pincode te bevestigen. Ook een verkoper of dienstverlener zal dit zelden aan u vragen. Krijgt u toch zo’n vraag en twijfelt u? Neem zelf contact op met de organisatie die de sms verstuurd zou hebben. 
  1. U ontvangt een betaalverzoek (zoals een ‘Tikkie’) of een vals bericht van een zogenaamde bekende (‘je dochter’, ‘je moeder’) waarin vertelt wordt dat hij/zij een nieuw telefoonnummer heeft en u vraagt om ‘even snel een groot geldbedrag over te maken’. Wees bedacht en controleer dit altijd! We noemen dit ook wel hulpvraagfraude of vriend-in-nood-fraude. 
  1. Het gaat om een vreemd telefoonnummer, zoals ‘4000’ of vreemde afzender; Is het een nummer of afzender die u niet herkent, wees dan alert. Let ook op typefouten in de naam…. Satander i.p.v. Santander bijvoorbeeld . Let erop dat u zeker weet dat de afzender echt is wie het zegt te zijn.
  1. U wordt gevraagd om een app te installeren op uw telefoon die u niet kunt downloaden via de Google Play Store of de Apple Store: Download niet via een rechtstreekse link. Als u een sms’je ontvangt waarin staat dat nu uw pakket kunt volgen maar u heeft geen pakket besteld of u verwacht geen pakket, klik er dan niet op! Oplichters proberen toegang tot uw telefoon te krijgen door te doen alsof ze van UPS, DHL of Post.nl zijn. Ze geven u een rechtstreekse link om een app installeren die u niet vindt in de Android-appwinkel Google Play Store of de Apple Store. Als u dat doet, is uw telefoon besmet met de malware.

Laten we eens kijken naar een echt voorbeeld om smishing beter te begrijpen


Jan koopt de wekelijkse boodschappen in een supermarkt dicht bij zijn huis. Terwijl hij het boodschappenlijstje van de supermarkt bekijkt dat hij op zijn telefoon heeft gemaakt, krijgt hij een sms met de tekst: “Uw bank heeft uw rekening geblokkeerd. Klik hier om uw rekening weer te activeren”. Dit alarmeert Jan en in plaats van overhaaste conclusies te trekken, ziet hij dingen die suggereren dat het smishing is.

Ten eerste weet Jan dat zijn bank hem nooit om persoonlijke gegevens of toegangscodes zou vragen in een sms met links. En terwijl hij de link bekijkt, ziet hij dat het er anders uitziet dan zijn bank en ook niet begint met een beveiligingsprotocol zoals "https". Hij vermoedt dat het een cyberzwendel is en als hij op de link klikt, verschijnt er een scherm met een formulier waarin om zijn rekeningnummer en wachtwoord voor internetbankieren wordt gevraagd.

Jan doet niets en neemt telefonisch contact op met zijn bank. Als de bank hem vertelt dat het niet klopt, verwijdert hij de sms.

Wat is het verschil tussen 'smishing' en 'phishing'?

Smishing-fraude gebeurt met een sms of social media. Phishing gebeurt via e-mail, lees hier meer over phishing. En dan is er ook nog ‘vishing’ wat telefonische fraude is waarbij Jan gebeld kan worden door een oplichter. Een bekend voorbeeld is iemand die zich voordoet als de bankmanager die vraagt om geld met spoed over te schrijven naar een vreemde rekening omdat uw eigen bankrekening zogenaamd nu geplunderd wordt. U weet nu, net als Jan, dat uw bank dat nooit zal vragen op deze manier.

Hoe kunt u zich beschermen tegen cyberzwendel?

Hier zijn vijf eenvoudige tips om smishing, phishing en vishing te herkennen en te voorkomen:

1. Denk na voordat u klikt of antwoordt: als u de afzender niet herkent of het bericht niet verwachtte, kijk dan of het bericht afkomstig is van een vertrouwd websitedomein of een correct geschreven adres. Als het bericht over banktransacties gaat, voer deze altijd alleen uit via de officiële kanalen van uw bank of financiële instelling.

2. Houd uw wachtwoorden veilig: gebruik niet hetzelfde wachtwoord voor verschillende website of platforms. Gebruik "wachtzinnen" die drie of meer woorden combineren en die uw wachtwoorden sterker maken. Gebruik tweetraps-authenticatie als het mogelijk is.

3. Wees discreet online en offline: aangezien miljoenen mensen sociale netwerken gebruiken om contact te houden met familie en netwerk, moeten we onze beveiligings- en privacy instellingen zorgvuldig bewaken en rekening houden met de details die we openbaar over hen delen.

4. Bescherm uw informatie en uw mobiel, laptop of pc: vergeet niet uw software, apps en programma's bij te werken. Nieuwe versies hebben meestal beveiligingsverbeteringen die de informatie op onze apparaten beschermen tegen virusaanvallen.

5. Als u iets vermoedt, meld het dan: als u een scam zoals smishing of phishing bespeurt, aarzel dan niet om uw wachtwoorden te wijzigen, de betrokken bedrijven te informeren en om raad te vragen.

Vermoedt u phishing, smishing of vishing bij berichten van Santander? Bel ons op 030-6388100 of mail naar customercare@santander.nl 


Op welke kenmerken moet u letten als een bericht afkomstig is van ons?

a. Onze e-mailadressen eindigen altijd op @santander.nl dus zoals in klantenservice@santander.nl

b. Ontvangt u een sms van ons? Dan is de afzender Santander

c. Meestal ontvangt u geen directe link van ons om iets te up- of downloaden of om iets in te vullen maar mocht dat wel gebeuren, let dan op dat de website waarheen u geleid wordt begint met https:\\

d. Bij commerciële berichten staat altijd een uitschrijflink en de boodschap “Let op! Geld lenen kost geld”

e. Vertrouwt u het bericht niet? Neem dan altijd direct contact met ons op via de u bekende kanalen en onderneem geen actie zolang u niet weet of het veilig is!

Utrecht - mei 2022