Bij sms-spoofing worden afzendergegevens voor frauduleuze doeleinden gewijzigd, zoals een telefoonnummer en de naam van een contactpersoon. Een gespoofde sms kan niet worden beantwoord of geblokkeerd. SMS-spoofing is volledig gebaseerd op imitatie.
Je krijgt een nep sms'je van iemand die je denkt te kennen, maar bij nader inzien klopt er iets niet. De naam en het mobiele nummer zijn niet identiek aan die in de contactlijsten van mensen; ze lijken alleen op elkaar.
Cyberbeveiligingsaanvallen nemen snel toe. Phishing en soortgelijke fraude zoals spoofing was de meest voorkomende vorm van cybercriminaliteit die werd gemeld aan het U.S. Internet Crime Complaint Center in 2021, Het betrof bijna 324 duizend mensen.
Interessant? Misschien wel, ja. Hoe spannend het ook klinkt, deze mogelijkheid is ontegenzeggelijk schadelijk bij verkeerd gebruik.
Belangrijkste opmerkingen
- SMS-spoofing houdt in dat afzenderinformatie wordt gewijzigd om zich voor te doen als een legitieme bron voor frauduleuze doeleinden.
- De toename van cyberbeveiligingsaanvallen benadrukt de gevaren van zowel sms-spoofing als smishing, veelgebruikte technieken van cybercriminelen.
- Legitiem gebruik van SMS spoofing is onder andere bulk messaging voor bedrijven en officiële communicatie van overheidsinstanties.
- Om zich te beschermen tegen SMS-spoofing moeten gebruikers voorzichtig zijn met ongevraagde berichten en geen links openen of persoonlijke informatie verstrekken.
- Het melden van spoofing-incidenten aan mobiele providers en wetshandhavers kan helpen om de impact van deze aanvallen in de toekomst te beperken.
Hoe werkt sms-spoofing?
Je zou kunnen denken dat sms-spoofing een probleem van de 21e eeuw is, maar het zal je verbazen als je hoort dat de oorsprong ervan vele decennia teruggaat. Een Egyptische commandant genaamd Sultan Baybars slaagde er in 1271 in om het machtige Krak des Chevaliers in te nemen door de belegerde ridders een vervalste brief van hun commandant te geven en hen te bevelen zich te onderwerpen. Uiteindelijk gaven de ridders het op en ontdekten dat de brief vals was.
SMS-spoofing werkt door het telefoonnummer van de echte afzender te verhullen in een SMS-bericht zodat het lijkt alsof het van een ander apparaat komt. Er zijn twee manieren om dit te doen:
- Je kunt een sms-bericht sturen vanaf de telefoon van je slachtoffer naar iemand met wie je wilt communiceren. Hierdoor denkt de ontvanger dat het bericht van een bekende komt, zoals een vriend of collega.
- Je kunt een sms-bericht sturen vanaf het telefoonnummer van iemand anders naar iemand met wie je wilt communiceren. Dit zal de ontvanger ook laten denken dat het bericht van iemand anders komt, zoals een vriend of collega.
Beveiliging vereenvoudigen met PowerDMARC!
Smishing en sms-spoofing: Wat is het verschil?
SMS spoofing en smishing zijn twee soorten oplichting waarbij gespoofde sms-berichten worden gebruikt om gevoelige informatie te verkrijgen van nietsvermoedende slachtoffers. Ze zijn beide gebaseerd op social engineering-technieken, maar verschillen in de manier waarop ze je benaderen.
SMS-spoofing
SMS-spoofing doet zich voor wanneer een hacker een SMS-bericht verstuurt vanaf een onherkenbaar nummer. Het bericht kan lijken te komen van iemand die je kent, of het kan komen van een bedrijf of organisatie die je vertrouwt. Deze aanvallen zijn erop gericht om je te verleiden om te antwoorden of om op een link te klikken die malware op je telefoon of computer zal downloaden.
Smishing
Smishing is vergelijkbaar met sms-spoofing, maar hackers sturen valse e-mails met schadelijke links in plaats van sms-berichten te gebruiken. Als je op de link klikt, wordt geprobeerd om malware op je apparaat te installeren of word je naar een nepwebsite geleid waar je om persoonlijke informatie zoals creditcardnummers en sofinummers wordt gevraagd.
Wat is een aanvalsvector voor sms-spoofing?
SMS-spoofing aanvalsvectoren doen zich voor als berichten van een betrouwbare bron om gebruikers van mobiele telefoons te verleiden tot het vrijgeven van hun persoonlijke gegevens. Een e-mailbericht met een link of uitvoerbaar bestand wordt meestal gebruikt om deze aanval te verspreiden. Zodra de knop wordt ingedrukt, kan de aanvaller toegang krijgen tot de berichten van het slachtoffer en deze namens hen versturen. Een manier om dit te voorkomen is om alleen berichten te accepteren van betrouwbare bedrijven die een betrouwbare SMS gateway en e-mailmarketingplatform gebruiken.
Om slachtoffers snel vertrouwelijke informatie te laten geven, versturen of onthullen, is het nodig om ze te laten geloven dat ze met een vertrouwde vriend of familielid spreken. Deze techniek kan zich voordoen als meerdere personen tegelijk, afhankelijk van het aantal gelijktijdige ontvangers en de aanvalsvector van spoofing.
Soorten sms-spoofing
Er zijn veel verschillende soorten sms-spoofing, waaronder:
1. Valse afzender-ID's
De meest voorkomende vorm van spoofing is het vervangen van de echte afzender-ID door een ander nummer of een andere naam. Hierdoor kunnen kwaadwillenden zich voordoen als entiteiten zoals je bank of creditcardbedrijf en je misleiden om persoonlijke informatie vrij te geven of schadelijke software te downloaden. Ze kunnen ook nummerweergave vervalsen door valse telefoontjes te plegen naast het vervalsen van sms-berichten.
2. Ongevraagde bulkberichten (UBM's)
UBM's zijn ongevraagde sms'jes die lijken te komen van iemand die je kent, maar afkomstig zijn van een onbekende bron. Deze berichten kunnen links bevatten naar kwaadaardige websites, phishing-aanvallen en andere zwendelpraktijken die zijn ontworpen om persoonlijke informatie van mobiele apparaten te stelen.
3. Intimidatie
Bij dit soort sms-spoofing worden meestal dreigende of ongepaste berichten naar andere mensen gestuurd. Sommige lastigvallers gebruiken deze methode om hun slachtoffers geld af te persen door ze te dreigen met consequenties als ze niet betalen.
4. Valse geldoverboekingen
Het kan bijvoorbeeld gaan om het versturen van een e-mail waarin wordt beweerd dat je een prijs hebt gewonnen, zodat je geld kunt overmaken naar een rekening om het bijvoorbeeld aan een goed doel te geven. Of het kan een meer sinistere vorm van oplichting zijn waarbij hackers je persoonlijke gegevens proberen te stelen door te beweren dat je een prijs hebt gewonnen, maar vervolgens om je bankgegevens vragen zodat ze het geld op je rekening kunnen storten.
5. Bedrijfsspionage
Bij deze aanval stuurt een hacker een sms-bericht naar je mobiele telefoon met een link naar een kwaadaardige website. Als je op die link klikt, wordt je omgeleid naar een andere site en worden je persoonlijke gegevens en referenties gestolen, die de aanvaller kan gebruiken om toegang te krijgen tot bedrijfsmiddelen of om geld van je te stelen.
SMS Spoofing: Wat zijn de legitieme toepassingen?
De legitieme toepassingen van SMS spoofing zijn onder andere bulk messaging services, officiële berichten en identiteitsbescherming.
Bulkberichten
SMS spoofing kan bulkberichten naar meerdere ontvangers tegelijk sturen. Dit is vooral handig voor bedrijven die bulk SMS software willen gebruiken om op een kosteneffectieve manier klanten te bereiken.
Officiële berichten
Overheidsinstellingen gebruiken ook sms-spoofing om belangrijke meldingen te versturen, zoals belastingdeadlines of waarschuwingen voor natuurrampen. Als je deze berichten verstuurt, moeten ze afkomstig zijn van een officiële bron zodat mensen weten dat ze legitiem zijn en geen oplichterij.
Identiteitsbescherming
Bedrijven zoals Equifax gebruiken deze technologie om de identiteit van hun klanten te beschermen. Stel dat iemand je probeert te bellen of e-mailen en zich voordoet als iemand van Equifax met een terugbelnummer. In dat geval kun je eenvoudig controleren of het echt is of niet door het nummer op je telefoon te bellen in plaats van persoonlijke informatie in te voeren via de telefoon of het internet.
Wat moeten gebruikers doen om zichzelf te beschermen tegen sms-spoofing?
- Wees op je hoede voor ongevraagde sms'jes die je ontvangt op je mobiele apparaat en open geen links in deze berichten. Als je een link opent, zorg er dan voor dat je de website bezoekt waarvan de link afkomstig beweert te zijn door de URL in je browser in te typen. Om de authenticiteit van communicatie te garanderen, is het implementeren van effectieve verificatie van afzender-ID cruciaal voor het tot stand brengen van een veilige verbinding tussen afzender en ontvanger.
- Beantwoord geen sms-berichten waarin om persoonlijke informatie wordt gevraagd, zoals rekeningnummers of wachtwoorden. Als je zo'n bericht ontvangt, verwijder het dan onmiddellijk zonder te antwoorden.
- Neem contact op met je mobiele serviceprovider als je een sms-bericht ontvangt waarin om geld of persoonlijke informatie wordt gevraagd.
Samenvatting
Niemand is volledig beveiligd tegen spoofing. Je moet oplichters die je lastigvallen of je nummer gebruiken voor spoofing altijd melden bij je provider en de politie, zodat zij kunnen achterhalen waar de berichten vandaan komen. Door dit te doen, kan sms-spoofing in de toekomst worden vermeden. Om ervoor te zorgen dat je geen sms'jes meer krijgt van de oplichter, kun je sms-blokkers downloaden.
Daarnaast moet je je bewust zijn van en beschermen tegen andere risico's van spoofing, waaronder e-mailspoofing en aanvallen met directe domeinspoofing die je reputatie kunnen schaden. Bekijk onze uitgebreide gids voor beveiliging tegen e-mail spoofing om veilig te zijn voor toekomstige aanvallen.
- Is koude e-mail nog steeds effectief in 2025? Beste praktijken voor bereik en veiligheid - 20 juni 2025
- DMARC MSP Praktijkstudie: Hoe PrimaryTech de beveiliging van klantdomeinen vereenvoudigde met PowerDMARC - 18 juni 2025
- DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025