SMS-phishing groeit harder dan elke andere phishing-vorm. Proximus, KPN en T-Mobile rapporteerden in 2024 een verdubbeling van smishing-meldingen ten opzichte van het jaar daarvoor. De oorzaak ligt voor de hand: mailfilters worden steeds beter, mobiele berichtenkanalen veel minder. SMS heeft geen DKIM, WhatsApp leest geen mail-headers en gebruikers handelen op hun telefoon sneller en met minder aandacht dan op hun laptop.
Patronen in SMS-fraude
Drie smaken zijn dominant. Pakket-smishing ("uw zending kon niet worden bezorgd, klik hier voor herplanning"), bank-smishing ("verdachte transactie op uw rekening, bevestig identiteit") en overheid-smishing rond DigiD, Belastingdienst of CJIB. Allemaal met een korte, urgente tekst en een link naar een look-alike-domein. De pagina vraagt eerst om credentials, daarna om SMS-code voor MFA, en levert beide live door aan de aanvaller.
Voicemail-spoofs
Een SMS met "u heeft een nieuw voicemail-bericht" en een link naar een nagemaakte pagina. Klassiek bij iCloud en gmail-gerelateerde smishing. De pagina is een credential-harvester, soms gevolgd door een script dat probeert uw 2FA-code te oogsten via een tweede SMS.
WhatsApp-fraude richting collega's
Iemand met een onbekend nummer schrijft: "Hoi, ik ben Jan van directie, dit is mijn nieuwe nummer." De foto is van LinkedIn geplukt. Volgt een verzoek om VVV-bonnen, een betaling of doorzetten van bankgegevens. Werkt vooral op office managers, assistentes en jonge medewerkers die de echte directie nog niet goed kennen. WhatsApp heeft geen ingebouwde verificatie van afzenders, dus identiteit moet altijd buiten WhatsApp om bevestigd worden.
Reactie op verdachte berichten
Niet klikken, niet antwoorden, niet doorsturen aan collega's voor "een mening". Wel doorsturen naar 7726, het centrale meldnummer van Nederlandse providers voor SMS-spam. Bij twijfel over een bank-SMS: open de bank-app handmatig en check daarbinnen. Bij twijfel over een directie-bericht via WhatsApp: bel het bekende nummer.
Mobiele MFA-veiligheid
SMS-MFA is een zwakkere factor dan vaak gedacht. Aanvallers vangen SMS-codes af via SIM-swap, smishing-pagina's of malware op het toestel. Stap voor zakelijke accounts over op authenticator-apps met number-matching, of op FIDO2-keys via Microsoft Entra. Op smartphones met Microsoft Authenticator: schakel app-lock in en controleer dat backup naar de juiste cloud-account loopt.
Beleid voor mobiele apparaten
MDM op zakelijke telefoons via Microsoft Intune of Jamf, met afgedwongen schermvergrendeling, app-allowlists en mogelijkheid tot remote wipe. Bij BYOD een duidelijk onderscheid tussen werkprofiel en persoonlijk gebruik, zodat een gehackte prive-app niet direct in uw mailbox terechtkomt.
Verwant: Onafhankelijke Cybersecurity consultant, Freelance IT consultant.