De korte versie: SMS-phishing — "smishing" — heeft e-mailphishing rond 2024 voorbijgestreefd als voornaamste manier om inloggegevens te stelen bij mobiele gebruikers, en is door 2025–2026 heen verder versneld. De oorzaken zijn structureel: telefoons draaien geen Safe Browsing-equivalent voor SMS, URL-voorbeelden ontbreken grotendeels, linkverkorters zien er legitiem uit en mensen tikken op hun telefoon met veel minder argwaan dan ze op een desktopbrowser klikken. Drie campagnes domineren het volume op dit moment. Dit is precies hoe elk ervan werkt.
Campagne 1 — USPS-pakket "niet afgeleverd" smishing
Actief sinds 2023. Volume volgens FTC/USPS-rapportage: ~5 miljoen+ Amerikaanse ontvangers per maand op het hoogtepunt. Toegeschreven door de FBI en beveiligingsonderzoekers (Resecurity, Trend Micro) aan de Chinees talige "Smishing Triad"-cluster.
Het lokaas
Er arriveert een sms, doorgaans 's ochtends of vroeg in de middag, met de melding dat het pakket van de ontvanger een "onvolledig adres" heeft en wordt teruggestuurd tenzij hij of zij de gegevens binnen 24 uur bevestigt. De sms bevat een link die lijkt op USPS (varianten zoals usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn), maar die is geregistreerd via wegwerpdomeinen die uren of dagen oud zijn. De meeste mensen verwachten een pakket — van Amazon, een webwinkel, een cadeau van een vriend — en het tijdstip zet aan tot klikken.
Wat er gebeurt als je klikt
Een pixel-perfecte kloon van de USPS-pagina vraagt om je adres (voor "herlevering"), waarna het escaleert naar een "herleveringstoeslag" van $1,99–$3,50 waarvoor creditcardgegevens nodig zijn. Het kaartformulier is het eigenlijke doel: volledig kaartnummer, CVV, vervaldatum, factuuradres, mobiel nummer voor "bezorgings-sms-bevestiging". De kaart wordt vervolgens binnen uren gebruikt of verkocht. De verzamelde informatie — volledige naam, adres, telefoonnummer, laatste 4 cijfers van de kaart — voedt ook vervolgaanvallen (nep-bankgesprekken, pogingen tot accountovername).
Waarom het werkt
- De meeste mensen hebben op elk moment een pakket onderweg — de kans dat de ontvanger de premisse gelooft is groot.
- USPS stuurt normaal geen sms'jes — maar de meeste gebruikers weten dat niet, en het merk wordt algemeen herkend.
- De "kleine toeslag" ($1,99) voelt te laag om voor te vechten; mensen betalen en gaan verder.
- Domeinen roteren elke paar dagen, waardoor alleen-blokkeerlijst-verdediging achterloopt op de campagne.
Wat het verraadt
Het domeinpatroon is zeer voorspelbaar: USPS-varianten met koppeltekens, .top / .cn / .info TLD's, geregistreerd via Chinees talige registrars, gehost achter Cloudflare of AS-roterende proxy's, certificaten uitgegeven door Let's Encrypt of ZeroSSL binnen de afgelopen 48 uur. Een ML-classificator getraind op deze kenmerken vangt nieuwe domeinen de eerste keer dat iemand ze bezoekt — lang voordat ze in PhishTank of de grote commerciële blokkeerlijsten verschijnen. De classificator is het hele punt van dreigingsdetectie op netwerkniveau.
Campagne 2 — Smishing over onbetaalde tol (E-ZPass, SunPass, FasTrak)
Sterk gestegen in 2024 toen staten overgingen op volledig elektronisch tolheffing. Het FBI IC3 gaf in april 2024 een publiek advies uit. Treft nu alle 50 staten (en Canadese gebruikers) met staatspecifieke merkvarianten.
Het lokaas
"[Staatsdienst of tolautoriteit]: U heeft een openstaand tolsaldo van $4,27. Betaal voor [datum] om een boete te vermijden. Betaal hier: ezpass-payments[.]com." Het bedrag is klein. De merknaam sluit aan bij de staat ("E-ZPass" in het noordoosten, "FasTrak" in Californië, "SunPass" in Florida, "TxTag" in Texas, "I-Pass" in Illinois). De link ziet er op het eerste gezicht uit als de echte tolwebsite. Ontvangers in staten met uitsluitend elektronisch tolheffing — inmiddels het grootste deel van het land — hebben plausibel recentelijk een tolweg gebruikt.
Wat er gebeurt als je klikt
Een kloon van de betaalportal van de relevante staatstolautoriteit, aangepast per staat. Het formulier vraagt om volledige naam, adres, telefoonnummer, kenteken (om "de overtreding op te zoeken") en stuurt vervolgens door naar een betaalscherm dat creditcardgegevens vraagt voor het kleine saldo. Net als bij USPS zijn de kaartgegevens het doel, maar deze campagne legt ook kentekengegevens vast — nuttig voor vervolgoplichting (nep-RDW-imitatie, registratiefraude voertuigen, verzekeringsfraude).
Waarom het werkt
- Tolautoriteiten nemen soms via sms of post contact op met bestuurders — de premisse is aannemelijk.
- De meeste gebruikers weten niet precies wat ze aan tol verschuldigd zijn en nemen aan dat kleine bedragen kloppen.
- De dreiging van "boetes" of "RDW-blokkades" zet aan tot betalen zonder verificatie.
- Staatspecifieke merkimitatie zorgt dat bewoners van elke regio hun vertrouwde merknaam zien.
Wat het verraadt
Tol-scamdomeinen hebben een strak handschrift: merknaam + payments/pay/billing in de hostnaam, .com / .net / .top TLD's, registratieleeftijd van ~24–72 uur, certificaten van dezelfde handvol gratis CA's, vaste ASN-clusters (Cloudflare, Namecheap, hostingproviders bekend om permissief misbruikbeleid). Zelfs met rotatie vangt een ML-classificator die scoort op registratieleeftijd + gelijkenis hostnaam-aan-merk de hele campagnefamilie — inclusief domeinen die voor het eerst op jouw specifieke apparaat worden gezien.
Campagne 3 — Terugbetalingsbevestigingssms'jes (Apple, Amazon, Netflix, Walmart)
Actief gedurende 2024–2026, met seizoensgebonden volumepieken rond belastingteruggaaf (feb.–apr. in de VS) en Black Friday / Cyber Monday.
Het lokaas
"Apple ID: Een bedrag van $239,99 voor [iCloud Storage / Apple Music jaarabonnement / etc.] is vandaag goedgekeurd. Als u dit niet heeft geautoriseerd, annuleer hier: [link]." Soms Amazon ("Een bedrag van $499,94 voor [product]…"). De premisse is een afschrijving die de ontvanger niet heeft gedaan — de dreiging is financieel. Nieuwsgierigheid + paniek zetten aan tot klikken. Sommige varianten zijn omgekeerd: "Uw terugbetaling van $237,45 is klaar. Bevestig uw bankrekening om het te ontvangen." Dezelfde haak, tegengestelde framing.
Wat er gebeurt als je klikt
Een vrijwel perfecte kloon van de accountinlogpagina van het merk. De hier gestolen inloggegevens zijn gevaarlijker dan de creditcardprijzen van campagnes 1 en 2: een Apple ID of Amazon-login opent de deur voor accountovername — volledige aankoopgeschiedenis, opgeslagen betaalmethoden, cadeaukaarttegoeden, App Store-aankopen, de mogelijkheid gevoelige e-mails te lezen en toegang tot andere diensten die hetzelfde e-mailadres gebruiken voor SSO-herstel. Veel varianten escaleren verder: na het onderscheppen van inloggegevens begeleidt een nep-supportchat of terugbelactie "van Apple" het slachtoffer bij het hardop voorlezen van SMS 2FA-codes, waardoor tweede-factorbeveiliging wordt omzeild.
Waarom het werkt
- Echte Apple/Amazon-factureringsteksten bestaan, dus de premisse is aannemelijk.
- Het bedrag is specifiek afgestemd om hoog genoeg te zijn om alarm te slaan, maar niet onmogelijk groot.
- Accountovername is waardevoller voor de aanvaller dan één enkele creditcardtreffer — een "succesvolle" inloggegevensonderschepping voedt wekenlang vervolgfraude.
- Doelwitten die zich bezighouden met de inloggegevenspagina worden aantoonbaar geconverteerd — terugbetalings-scamoperaties richten vervolgenergie daar, inclusief de supportgesprekescalatie.
Wat het verraadt
Terugbetalings-scamdomeinen zien er doorgaans uit als apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com — kortlevend, merknaamaanval, geregistreerd via bekende misbruikvriendelijke registrars. Het classificatorsignaal is vrijwel hetzelfde als bij de andere campagnes: gelijkenis hostnaam-aan-merk (Levenshtein-afstandscoring tegenover "apple.com", "amazon.com", "netflix.com"), registratieleeftijd, certificaatprovider, hostinginfrastructuur. Vangt de campagne bij eerste waarneming, ongeacht welke specifieke merkvariant actief is.
Gemeenschappelijke patronen in alle drie
Alle drie de campagnes delen structurele kenmerken die ze als klasse detecteerbaar maken:
- Recent geregistreerde domeinen — doorgaans minder dan een week oud, vaak minder dan 24 uur.
- Hostnaamimitatie van een herkend merk — meetbaar via tekenafstandscoring tegenover een lijst met bekende merken.
- Gratis certificaten van Let's Encrypt of ZeroSSL — legitieme sites gebruiken deze ook, maar de combinatie van "nieuw domein + gratis certificaat + merkimiterende hostnaam" is sterk voorspellend.
- Hosting bij een kleine groep misbruikstolerante providers — Cloudflare-frontends, met oorsprongsservers in rechtsgebieden bekend om trage verwijdering.
- Paginasjablonen die overeenkomen met bekende phishingkits — domein-specifieke UI-assets worden hergebruikt over campagnes heen.
- URL-structuur — lange paden met willekeurig ogende tokens, veelvuldig gebruik van querystring-omleidingen.
Wat hen niet vangt
- iOS Safe Browsing werkt alleen in Safari. De phishinglink die vanuit de Berichten-app wordt aangetikt, opent in een webweergave die niet dezelfde bescherming krijgt.
- SMS-filtering op carrierniveau blokkeert een deel van het volume maar roteert zelden — campagnes passen het verzendingnummer aan en de filter loopt permanent achter.
- "Klik gewoon niet op verdachte links" — goed advies dat faalt bij de kleine minderheid van berichten waarbij de gebruiker daadwerkelijk een pakket, terugbetaling of tolrekening verwacht. Volume is de strategie.
- Puur blokkeerlijsten (PhishTank, OpenPhish, enz.) — deze zijn reactief. Tegen de tijd dat een domein wordt gemeld en toegevoegd, is het al uren tot dagen live; campagneoperators roteren voordat de lijsten bijhouden.
Wat hen wél vangt
Dreigingsdetectie op netwerkniveau die een ML-classificator uitvoert op het doeldomein op het moment van DNS-resolutie. De classificator heeft de specifieke URL niet ergens first gemeld nodig — hij scoort op de structurele kenmerken hierboven (registratieleeftijd, merkvergelijkbaarheid, certificaatprovider, hosting-ASN, URL-vorm) en weigert domeinen boven de risicodrempel te resolven. Dat is de volledige architectuur van Casper's dreigingsbeveiliging (hier in detail uitgelegd), en het is het enige dat de kloof bij deze drie campagnes daadwerkelijk verkleint.
Een subtiel bijkomend voordeel: de classificator van Casper's Cloak rapporteert fout-positieven (een gebruiker markeerde een blokkade als onjuist) terug voor hertraining. De drie bovenstaande campagnes worden nu goed geclassificeerd, maar de operators erachter blijven tactieken roteren — nieuwe TLD's, nieuwe registrars, nieuwe hostingpatronen. Een continu lerend model past zich sneller aan dan welke statische blokkeerlijst ook.
Conclusie
Smishing wint momenteel omdat SMS het kanaal is dat mobiele gebruikers het minst verdenken, de in het besturingssysteem ingebouwde bescherming slechts één browser dekt en de dominante campagnes domeinen sneller roteren dan reactieve blokkeerlijsten bijwerken. Het aangrijpingspunt ligt op de DNS-laag — elke aangeklikte link maakt een DNS-query voordat de browser hem opent, en die query is de schoonste plek om in te grijpen. Als je maar één ding uit dit artikel meeneemt: tik nooit op een betalingslink uit een sms. Open de app zelf. De paar seconden die het je kost, zijn je enige verdediging.