Afgelopen week werd bekend dat de privégegevens van miljoenen Facebook-gebruikers op straat kwam te liggen. In het bestand dat online kwam, staan gegevens zoals naam, woonplaats en telefoonnummer van meer dan 533 miljoen gebruikers, onder wie ruim 5,4 miljoen Nederlanders. De Facebook-data komt van een datalek van een paar jaar oud. De dataset kwam echter nu pas in het nieuws omdat de volledige database gratis wordt aangeboden op diverse hackerfora.
Proofpoint verwacht dat het lek zal resulteren in een significante toename van het aantal smishing-aanvallen. Bij smishing, ook wel sms-phishing genoemd, probeert een cybercrimineel persoonlijke informatie te verkrijgen een sms met misleidende informatie te sturen naar een slachtoffer. Hierbij wordt social engineering toegepast en doen de criminelen zich vaak voor als een bekende van het slachtoffer om de aanval overtuigender te doen lijken. Een bericht via sms wordt vaak als betrouwbaarder gezien dan een bericht via e-mail.
Jacinta Tobin, vice president Cloudmark Operations bij Proofpoint: "Het online lekken van persoonlijke informatie zal ongetwijfeld leiden tot een toename van het aantal smishing-aanvallen. Het is een trend die we hebben zien toenemen, vooral sinds de uitbraak van de pandemie. Het aantal smishing-berichten is de afgelopen 12 maanden ieder kwartaal met 300% gestegen. En hoewel de aanvallers zich in de eerste plaats richten op consumenten, zien we ook een zorgwekkende toename van aanvallen op organisaties. Meer dan 81% van de organisaties heeft in 2020 een sms-aanval gemeld.
Deze oplichterij via sms gebruikt vaak frauduleuze branding in combinatie met een zekere mate van urgentie. Hierbij wordt de gebruiker gevraagd op een schadelijke link te klikken. Consumenten vertrouwen mobiele berichten meestal wel en zijn veel eerder geneigd op links in tekstberichten te klikken dan op links in e-mailberichten. Dit vertrouwen, in combinatie met het grote bereik van mobiele apparaten, maakt mobiele telefoons een interessant kanaal voor fraude en identiteitsdiefstal. Om deze aanvallen tegen te gaan, raden we gebruikers aan om eerst te controleren of ze in het Bel-me-niet Register staan ingeschreven en om dit te bevestigen. Dit moeten ze ook doen als ze denken dat ze zich al eerder hebben ingeschreven, aangezien het register ook voor sms-berichten geldt. Bovendien raden we mobiele gebruikers aan de meldingsfunctie voor spam te gebruiken als ze die hebben.
Consumenten moeten zeer terughoudend zijn ten aanzien van mobiele berichten die afkomstig zijn van onbekende bronnen. En het is belangrijk om nooit op links in tekstberichten te klikken, hoe geloofwaardig ze er ook uitzien. Als je contact wilt opnemen met de zogenaamde verkoper die je een link stuurt, doe dat dan direct via hun website en voer altijd handmatig het webadres/URL in. Kortingscodes moet je eveneens rechtstreeks op de site invoeren. Het is ook belangrijk dat je niet reageert op vreemde sms'jes of sms'jes van onbekende bronnen. Als je dat wel doet, is dat voor toekomstige oplichters vaak een bevestiging dat je een echt persoon bent."
