Gevaarlijke phishing: toename nep-sms'jes uit naam bank
Cybercriminelen sturen vaker phishing-sms'jes die afkomstig lijken van je bank en lastig te herkennen zijn. De banken zien een toename in het aantal meldingen en waarschuwen voor deze vorm van oplichting.
RTL Nieuws kreeg de afgelopen tijd veel meldingen over deze phishing-sms'jes. De afzender is de naam van jouw bank, en vaak verschijnt de phishing-sms tussen de echte sms'jes van je bank.
Dat maakt de phishing volgens experts zeer lastig te herkennen. "Kwaadwillenden kunnen elke bedrijfsnaam als afzender opgeven", vertelt ethisch hacker Wesley Neelen van KPN Security. "Voer de naam van een bank in, en die sms-berichten ogen dan heel realistisch."
Spoofing
De phishing-berichten proberen vaak angst aan te wakkeren, bijvoorbeeld dat er een groot bedrag afgeschreven wordt of dat iemand op jouw internetbankieren probeert in te loggen. De link leidt naar een phishingwebsite, waar cybercriminelen na het vragen van allerlei gegevens jouw bankrekening proberen te plunderen.
De criminelen maken gebruik van een technologie genaamd spoofing, waarmee de afzender van een sms-bericht kan worden aangepast naar bijvoorbeeld de naam van een bank. Hierdoor verschijnt het bericht tussen de echte sms-berichten van je bank.
Het is onduidelijk hoeveel slachtoffers deze opkomende vorm van phishing heeft gemaakt. "Maar het is zeker een vorm van fraude die toeneemt", zegt Gijs Boudewijn, adjunct-directeur van de Betaalverening Nederland.
'Toch voor gevallen'
De 24-jarige Mylène ontving zo'n phishing-sms die afkomstig leek van haar bank, de ING. "Normaal trap ik nooit in phishing, maar omdat het bericht tussen mijn ING-sms'jes stond, ben ik er toch voor gevallen", vertelt ze tegen RTL Nieuws.
In de phishing-sms stond dat ze haar identiteit moest bevestigen omdat iemand toegang probeerde te krijgen tot haar internetbankieren. Ze vulde haar gegevens in, maar werd uiteindelijk teruggestuurd naar de beginpagina. "Dat vond ik raar, en vertrouwde het niet meer." Ze belde ING op.
Tijdens dat gesprek vroeg een medewerker van ING aan Mylène of ze bezig was met het installeren van de Mobiel Bankieren-app op een iPhone X. Die telefoon heeft ze niet. Zo kwamen ze erachter dat een crimineel met een iPhone X toegang probeerde te krijgen tot haar bankrekening. ING heeft dit geblokkeerd en voorkwam daarmee dat er geld van haar rekening werd gehaald.
Hoe werkt spoofing bij sms'jes?
Online sms-diensten bieden de mogelijkheid om de zogeheten sender-ID aan te passen. Daar kun je bijvoorbeeld een ander 06-nummer of naam invoeren. De technologie bestaat al jaren, en wordt vaak voor legitieme doeleinden gebruikt. Zo kan een organisatie zijn naam als afzender gebruiken, in plaats van een telefoonnummer.
Een spoofing-sms kost gemiddeld een paar cent. Veel online sms-diensten bieden echter een gratis proefperiode aan, waar cybercriminelen gebruik van maken. Deze tip wordt verspreid in de criminele chatgroepen.
Telecomproviders stellen dat er momenteel geen manier is om spoofing-sms'jes tegen te gaan, maar dat er wel wordt gekeken naar oplossingen. Wanneer dergelijke oplossingen beschikbaar komen, is niet duidelijk.
Lijsten met 06- en IBAN-nummers
Cybercriminelen willen een phishing-sms zo gericht mogelijk sturen. Daarvoor moeten ze weten bij welke bank je klant bent. De criminelen kopen lijsten met mensen waarvan hun naam, telefoonnummer en IBAN bekend is. Die lijsten komen onder andere uit systemen van callcenters. Het is onduidelijk of hun medewerkers zijn gehackt, of dat ze deze gegevens doorverkopen.
De callcenters kopen deze lijsten weer van marketingpartijen, die met acties persoonsgegevens verzamelen. Meestal kun je iets winnen, zoals een iPhone of weekendje weg. Ook worden lijsten met gelekte of gestolen persoonsgegevens door sommige callcenters opgekocht.
RTL Nieuws spoorde samen met KPN Security een callcenter op waar gegevens van Nederlanders werden doorgespeeld aan criminelen. Het callcenter is een onderzoek gestart en heeft zijn procedures aangescherpt, waardoor medewerkers geen toegang meer hebben tot contactlijsten en niet meer vanaf buitenaf kunnen inloggen.
Minder veilig
"In vergelijking met phishing via e-mail zijn er bij sms minder beveiligingsmaatregelen", legt ethisch hacker Neelen uit, die samen met collega Rik van Duijn onderzoek deed naar phishing in Nederland. "Zo bevat e-mail een spamfolder, maar heeft sms dit niet. Verder is er een stuk minder aandacht voor sms-phishing dan phishing via e-mail."
Het gevaar schuilt er ook in dat we altijd een telefoon op zak hebben, legt Van Duijn uit. "Dit zorgt ervoor dat veel mensen altijd bereikbaar zijn via sms, en dus ook potentieel kwetsbaar zijn voor dergelijke phishingaanvallen. Je zal net even bezig zijn en denken, ik handel het snel even af. Voor je het weet ben je slachtoffer."
Linkjes checken
Het was Mylène niet opgevallen dat het een phishingwebsite was. "Het sms'je was zo overtuigend en ik schrok ervan. Ik wilde zo snel mogelijk toegang krijgen tot mijn internetbankieren en mijn identiteit verifiëren." In het webadres stonden de termen 'ING' en 'verifiëren', waardoor Mylène niet direct doorhad dat het om phishing ging.
De banken stellen nooit linkjes in sms-berichten te sturen. "Je kunt wel een sms van je bank krijgen, maar daar zit nooit een link naar een website in", legt Boudewijn van de Betaalvereniging Nederland uit. "Bij twijfel: bel je bank op en vraag het na."
Zo werkt de Nederlandse phishing-wereld
Cybercriminelen maken software - zogeten panels - waarmee andere cybercriminelen met een paar klikken phishingwebsites kunnen opzetten. Ze kunnen in dat panel aangeven welke bank of organisatie de phishingwebsite moet imiteren, en zien alle door de slachtoffers ingevoerde gegevens in het systeem terug.
Met die gegevens proberen ze in te loggen op de internetomgeving van de bank, en vervolgens geld over te boeken. Er is een optie om het slachtoffer een tijdje te laten wachten totdat ze alle gegevens hebben ingevoerd, zodat ze meer tijd hebben.
Er zijn ook mensen die stellen phishing-slachtoffers te kunnen regelen, ook wel visjes genoemd. Zij sturen phishing-linkjes naar mensen, veelal via online marktplaatsen, waarna hun gegevens in de handen van cybercriminelen komen. Voor elk slachtoffer krijgt de persoon die degene aanlevert een percentage.
De panels worden verkocht via websites en chat-app Telegram. Meestal moet er een abonnement worden afgesloten van enkele tientjes per maand. De betaling gaat veelal via Bitcoin.