Terug naar blog
    Phishing

    Wat is Smishing?

    Sectricity Security TeamApril 16, 2026

    Smishing is phishing via SMS of WhatsApp. Dit artikel legt uit wat smishing is, waarom het zo goed werkt, welke scenario's typisch zijn, en hoe bedrijven hun medewerkers weerbaar maken.

    smishingphishingsocial engineeringwhatsappsmssecurity awarenessceo-fraudemfamobile security

    Wat is smishing? Phishing via SMS en WhatsApp die steeds vaker bedrijven treft

    Smishing is de snelstgroeiende social engineering techniek van de afgelopen jaren. Terwijl e-mailfilters steeds beter phishing tegenhouden, zijn SMS en WhatsApp grotendeels een open kanaal gebleven. Aanvallers weten dat, en verschuiven hun campagnes massaal naar mobiel. Voor bedrijven betekent dit een nieuwe dreiging: medewerkers die op hun privetelefoon een bericht krijgen dat lijkt te komen van de IT-afdeling, de CEO of een leverancier, en binnen enkele seconden beslissen of zij klikken.

    Dit artikel legt uit wat smishing is, waarom het zo effectief is, welke voorbeelden typisch zijn, en hoe bedrijven hun medewerkers weerbaar maken.

    TL;DR

    Smishing is phishing via SMS of WhatsApp. Het werkt effectief omdat mobiele filtering zwakker is dan e-mailfiltering, omdat afzenders en URLs op een telefoonscherm moeilijker te controleren zijn, en omdat mensen hun telefoon minder kritisch lezen dan hun werkinbox. Bedrijven verlagen smishing-risico door medewerkers te trainen met realistische smishing simulaties, processen op te zetten voor verificatie van risicovolle verzoeken, en een meldcultuur waar twijfel zonder schaamte gemeld kan worden.

    Wat smishing precies is

    Smishing is een samentrekking van SMS en phishing. De aanvaller doet zich voor als een vertrouwde partij: een bank, een koerier, de overheid, een collega, de CEO. Het is een vorm van social engineering. De boodschap is kort, dringend en bevat meestal een link of een vraag om een actie: klik hier om je pakket te volgen, bevestig je identiteit, verwerk deze betaling, stuur deze MFA-code door.

    In tegenstelling tot e-mailphishing, dat al decennia bestaat, is smishing relatief nieuw als massaal aanvalskanaal. De techniek is simpel: SMS-gateways zijn goedkoop, WhatsApp laat internationale communicatie eenvoudig toe, en spoofing van afzendernamen is op veel netwerken nog steeds mogelijk.

    Het doel van smishing varieert:

    • Inloggegevens stelen via een nagemaakte loginpagina
    • Malware op het toestel installeren via een download
    • Een betaling of transactie uitlokken
    • MFA-codes onderscheppen om een account over te nemen
    • Persoonlijke gegevens verzamelen voor identity theft

    Typische smishing scenario’s

    Smishing-aanvallen volgen een beperkt aantal patronen. Hieronder de meest voorkomende die zowel particulieren als bedrijfsmedewerkers raken.

    Valse pakketberichten

    “Uw pakket kon niet worden afgeleverd. Bevestig uw adres en betaal EUR 1,99 herbezorgingskosten.” De link leidt naar een nagemaakte bpost, PostNL of DHL pagina waar het slachtoffer kaartgegevens invoert. Eens ingevuld gaan die rechtstreeks naar de aanvaller.

    Valse bankberichten

    “Verdachte transactie gedetecteerd op uw rekening. Klik hier om te bevestigen of te annuleren.” De link leidt naar een nagemaakte bankpagina die inloggegevens en MFA-codes verzamelt. Dit type aanval is gevaarlijk omdat het de natuurlijke reactie uitbuit om snel te handelen bij mogelijke fraude.

    Valse overheidsboetes

    “U heeft een openstaande verkeersboete. Betaal binnen 48 uur om extra kosten te vermijden.” Politie of FOD Financien sturen boetes nooit per SMS met betaallink. Toch werkt deze truc, zeker bij mensen die niet zeker weten of zij recent een overtreding hebben gemaakt.

    Nep-IT helpdesk

    “Dit is IT. Uw Microsoft 365 wachtwoord verloopt vandaag. Klik hier om te verlengen.” Bij bedrijven is dit een groeiende dreiging, vooral als medewerkers een bedrijfs-SIM of BYOD-toestel gebruiken. De aanvaller weet vaak wel welke software het bedrijf gebruikt, wat de boodschap extra geloofwaardig maakt.

    CEO-fraude via WhatsApp

    “Hallo, ik heb even iets dringend nodig. Kun je snel cadeaubonnen van 500 euro kopen en de codes doorsturen? Ik leg het later uit.” Deze variant richt zich meestal op finance of executive assistants. Het werkt omdat WhatsApp persoonlijker voelt dan e-mail en de ontvanger geen tijd heeft om te verifieren.

    MFA fatigue via SMS

    De aanvaller heeft al inloggegevens bemachtigd en probeert een MFA-code te ontfutselen. “Stuur ons de code die je net ontving om je account te beveiligen.” Het slachtoffer denkt dat IT hulp biedt en geeft de code door. De aanvaller logt ondertussen binnen.

    Waarom smishing zo goed werkt

    Smishing heeft structurele voordelen voor de aanvaller vergeleken met e-mailphishing.

    Zwakkere filtering: SMS- en WhatsApp-berichten passeren minder beveiligingslagen dan zakelijke e-mail. Mail-gateways, DMARC en sandboxing bestaan niet op SMS. Carriers filteren sommige bekende spam-nummers, maar de filtering is verre van volledig.

    Kleiner scherm, minder context: op een telefoonscherm zie je meestal alleen de afzender en de eerste regel. Verkorte URLs verbergen het echte domein. Typefouten in een afzenderdomein vallen minder op. Vergelijkbare reviewmogelijkheden als op een desktop mailclient ontbreken.

    Persoonlijke context: mensen associeren SMS en WhatsApp met familie, vrienden en collegas. De mentale modus staat op “persoonlijk”, niet op “zakelijk kritisch”. Argwaan is lager.

    Tijdsdruk voelt natuurlijker: SMS is ontworpen voor snelle communicatie. Een dringend bericht voelt binnen dat kanaal minder opvallend dan een dringende e-mail.

    Mengeling prive en werk: veel medewerkers gebruiken privetelefoons voor werk of bedrijfstelefoons voor prive. Scheiding van contexten is onduidelijk. Een werkgerelateerd smishing-bericht komt binnen op hetzelfde toestel als familieberichten.

    Hoe herken je smishing

    Een paar controlepunten voor je reageert op een verdacht SMS of WhatsApp-bericht:

    1. Onbekende afzender: een volledig onbekend nummer, een internationaal nummer of een kortnummer zonder context.
    2. Tijdsdruk: “binnen 24 uur”, “vandaag nog”, “onmiddellijk handelen”.
    3. Verkorte URL: bit.ly, tinyurl, t.co of andere verkorters die het echte domein verbergen.
    4. Vragen om gevoelige gegevens: wachtwoorden, PIN-codes, MFA-codes, kaartnummers. Geen enkele officiele instantie vraagt dit ooit via SMS.
    5. Financiele actie: een betaling, een cadeaubon, een transfer.
    6. Buiten je normale workflow: een verzoek dat niet past bij hoe deze persoon of organisatie normaal communiceert.

    Bij twijfel: klik nooit op de link in het bericht. Open de officiele app of website rechtstreeks via je browser. Of bel het bekende telefoonnummer van de vermeende afzender om te verifieren.

    Hoe bedrijven hun medewerkers beschermen

    Smishing is moeilijk technisch te filteren. Verdediging zit daarom vooral in oefening en processen.

    Smishing simulaties

    Zoals phishing simulaties, maar via SMS of WhatsApp. Een security partner stuurt realistische nep-smishing berichten naar bedrijfstoestellen of zakelijke nummers en meet het reactiegedrag. Directe feedback na een klik maakt dat de ervaring blijft hangen. Smishing testing maakt deel uit van een breder social engineering assessment.

    Processen voor risicovolle handelingen

    Betalingsinstructies die via SMS of WhatsApp binnenkomen worden nooit uitgevoerd zonder verificatie via een tweede kanaal. Wijzigingen van leveranciersgegevens, cadeaubonnen, spoed-overboekingen: altijd een bekend telefoonnummer bellen om te verifieren. Een vast proces hiervoor elimineert de meerderheid van CEO-fraude.

    Training in de werkcontext

    Generieke awareness-training leert mensen zelden om gericht smishing te herkennen. Gerichte security awareness training die mobile-first scenario's gebruikt werkt beter. Het Swishing phishing spel kan smishing-scenarios includeren als onderdeel van gamified oefening.

    Technische basis

    Multi-factor authenticatie op basis van authenticatie-apps of FIDO2, niet op SMS. SMS-gebaseerde MFA is kwetsbaar voor SIM-swapping en onderscheppen. Voor kritieke accounts is SMS-MFA onaanvaardbaar.

    Meldcultuur

    Medewerkers moeten een verdacht SMS of WhatsApp kunnen melden zonder gedoe. Een eenvoudig kanaal, bijvoorbeeld een speciale mail of Teams-kanaal, verlaagt de drempel. Meldingen delen met de rest van de organisatie zorgt dat iedereen gewaarschuwd wordt als een campagne actief is.

    Wat te doen als je op een smishing link hebt geklikt

    1. Sluit onmiddellijk de pagina zonder gegevens in te vullen
    2. Als je gegevens hebt ingevoerd: wijzig direct je wachtwoord van de betrokken account
    3. Vernieuw MFA-tokens en log actieve sessies uit
    4. Meld aan IT of de security-afdeling, ook als je denkt dat je op tijd was
    5. Als je op een werktoestel klikte: laat IT controleren op malware
    6. Bij financiele actie: neem direct contact op met je bank

    Snelheid van reactie bepaalt hoeveel schade ontstaat. Melden is nooit een teken van falen, het is een bescherming voor iedereen in het bedrijf.

    Veelgestelde vragen over smishing

    Wat is smishing precies?

    Smishing is een samentrekking van SMS en phishing. Het gaat om phishing-aanvallen die worden verstuurd via SMS, WhatsApp of andere mobiele berichtendiensten. De aanvaller doet zich voor als een bank, koerierbedrijf, overheidsdienst of collega en probeert de ontvanger te laten klikken op een link, persoonlijke gegevens te delen of een betaling te doen.

    Wat is het verschil tussen smishing en phishing?

    Phishing gebeurt typisch via e-mail. Smishing gebruikt SMS of WhatsApp. Het onderliggende principe is hetzelfde: iemand doet zich voor als een vertrouwde partij en probeert de ontvanger te manipuleren. Smishing heeft echter een hogere slaagkans omdat SMS-berichten minder gefilterd worden dan e-mail, en mensen hun telefoon sneller en minder kritisch lezen dan hun inbox.

    Waarom werkt smishing zo goed?

    Smishing werkt effectief om drie redenen. Ten eerste: SMS-filtering is zwakker dan e-mailfiltering, dus meer berichten komen door. Ten tweede: op een telefoonscherm is het moeilijker om afzender-afwijkingen of verdachte URLs te zien. Ten derde: mensen associeren SMS met persoonlijke communicatie en lezen het met minder argwaan dan zakelijke e-mail. Korte boodschappen met tijdsdruk nodigen uit tot snel klikken.

    Wat zijn typische smishing voorbeelden?

    Veelvoorkomende smishing scenario’s zijn valse pakketleveringen (bpost, PostNL, DHL) die een betaling vragen voor herbezorging, valse bankberichten over verdachte transacties, valse boetes van de overheid of politie, nep-MFA-codes met vraag om doorsturen, en zogenaamde CEO-berichten via WhatsApp die om spoedbetaling of aankoop van cadeaubonnen vragen. Bij bedrijven zijn zogenaamde IT-helpdesk berichten een groeiend probleem.

    Hoe herken je smishing?

    Typische signalen zijn een onverwachte SMS van een onbekend nummer of kortnummer, tijdsdruk om snel te handelen, verkorte URLs die het echte domein verbergen, vragen om persoonlijke of financiele gegevens, en afzenders die zich voordoen als officiele instanties. Echte banken, koeriers of overheidsdiensten vragen nooit via SMS om wachtwoorden, PIN-codes of MFA-codes. Bij twijfel: open de officiele app of website rechtstreeks, klik nooit op de link in de SMS.

    Hoe test je medewerkers op smishing?

    Smishing simulaties werken vergelijkbaar met phishing simulaties, maar via SMS of WhatsApp. Een security partner stuurt realistische nep-smishing berichten naar bedrijfstoestellen of zakelijke nummers, meet click-rates en reactiegedrag, en koppelt daar directe feedback aan. Goede smishing tests gebruiken scenario’s uit de werkcontext van de ontvanger, niet algemene sjablonen. Na de test volgt een korte oefening over wat er fout ging.

    Wat moet je doen als je op een smishing link hebt geklikt?

    Onmiddellijk melden aan IT of de security-afdeling, ook als je denkt dat er niets is gebeurd. Sluit de pagina zonder gegevens in te vullen. Als je wel gegevens hebt ingevoerd: wachtwoorden direct wijzigen, MFA-tokens vernieuwen en de betrokken account monitoren op verdacht gedrag. Als je op een link klikte op een werktoestel: informeer IT zodat zij kunnen controleren op malware. Snelheid van melden bepaalt de uiteindelijke schade.

    Gerelateerde diensten en bronnen

    Test de weerbaarheid van je medewerkers tegen smishing via Sectricity's smishing testing, bredere social engineering assessments, phishing simulatie en testing en vishing testing. Versterk de kennis met security awareness training of het Swishing phishing spel. Start met een gratis security scan om je risico in kaart te brengen.