Phishing gebeurt niet alleen via e-mail. Steeds vaker ontvangen medewerkers verdachte berichten via sms, WhatsApp of andere chatapps. Dat heet smishing: phishing via tekstberichten. De berichten zijn vaak kort, direct en gericht op snelle actie.
Een smishingbericht kan lijken op een melding van een pakketdienst, bank, collega, leidinggevende of bekende dienst. Je moet een betaling bevestigen, een pakket opnieuw plannen, een account herstellen of snel reageren op een verzoek. Omdat het bericht op je telefoon binnenkomt, voelt het persoonlijker dan een gewone e-mail.
Die persoonlijke sfeer maakt smishing gevaarlijk. Veel mensen lezen berichten op hun telefoon snel, tussendoor en zonder veel context. Een korte link of bekende naam kan genoeg zijn om iemand te laten doorklikken.
Waarom smishing goed werkt
Sms en WhatsApp zijn directe kanalen. Een melding op je telefoon trekt meteen aandacht. Je hoeft geen mailbox te openen en je ziet het bericht vaak tussen persoonlijke gesprekken. Daardoor kan de grens tussen privé en werk vervagen.
Ook is er in korte berichten weinig ruimte voor uitleg. Een echte pakketmelding is meestal kort. Een echte verificatiecode is ook kort. Daardoor valt een valse melding minder snel op. De aanvaller hoeft geen lange overtuigende mail te schrijven, maar alleen genoeg urgentie te creëren om iemand te laten klikken.
Daarnaast zijn links op mobiele schermen moeilijker te beoordelen. Je ziet vaak maar een deel van het adres. Sommige berichten gebruiken verkorte links, waardoor de echte bestemming verborgen blijft.
Veelvoorkomende smishingvoorbeelden
Een bekend voorbeeld is de pakketmelding: je pakket kon niet worden bezorgd, plan een nieuw moment via deze link. Rond drukke bezorgperiodes voelt dat geloofwaardig. Veel mensen verwachten daadwerkelijk pakketjes en klikken snel door.
Ook bank- en betaalverzoeken komen vaak voor. Het bericht zegt dat er een verdachte betaling is, dat je pas geblokkeerd wordt of dat je gegevens moet bevestigen. De link leidt vervolgens naar een nagemaakte omgeving.
In zakelijke context kan smishing lijken op een bericht van een collega of leidinggevende. Bijvoorbeeld: kun je mij even helpen met een betaling? Of: ik zit in een meeting, wil je snel dit regelen? Zulke berichten spelen in op behulpzaamheid en gezag.
WhatsApp maakt misleiding persoonlijker
Via WhatsApp kan een aanvaller zich voordoen als iemand die je kent. Soms gebeurt dat met een onbekend nummer en een smoes over een nieuwe telefoon. Soms wordt een account misbruikt dat echt van een bekende is. Dat maakt controleren lastiger.
Let daarom op afwijkend gedrag. Schrijft iemand anders dan normaal? Vraagt die persoon om geld, codes, wachtwoorden of vertrouwelijke informatie? Is er haast? Wordt bellen vermeden? Dat zijn signalen om via een ander kanaal te controleren.
Wat kun je doen bij twijfel?
Klik niet zomaar op links in sms of WhatsApp. Ga bij pakketmeldingen zelf naar de website of app van de bezorgdienst. Bel een collega of leidinggevende via een bekend nummer als een verzoek vreemd voelt. Deel nooit wachtwoorden, MFA-codes of betaalgegevens via chat.
Als een bericht zakelijk lijkt, meld het dan volgens de interne afspraken. Ook als het op je privételefoon binnenkomt, kan het relevant zijn voor de organisatie. Aanvallers gebruiken persoonlijke kanalen juist omdat daar minder formele controle is.
Korte berichten verdienen een lange blik
Smishing werkt omdat het snel is. Een kort bericht, een duidelijke link en een beetje druk zijn soms genoeg. De beste verdediging is daarom eenvoudig: neem juist bij korte, urgente berichten even extra tijd.
Een echte bezorgdienst, bank of collega kan wachten op controle. Een aanvaller wil vooral dat je meteen reageert. Dat verschil is vaak het eerste signaal dat er iets niet klopt.
Maak ook mobiele meldingen onderdeel van awareness
Veel securitytraining richt zich op e-mail, terwijl medewerkers steeds vaker via mobiele berichten worden benaderd. Bespreek daarom ook sms, WhatsApp en andere chatkanalen. Juist omdat deze berichten kort en persoonlijk voelen, is het belangrijk dat medewerkers weten dat zakelijke risico's ook via hun telefoon kunnen beginnen.
Een korte interne afspraak helpt: zakelijke verzoeken via chat worden altijd gecontroleerd zodra ze gaan over geld, toegang of vertrouwelijke informatie. Daarmee blijft chat handig, zonder dat snelheid de controle overneemt.