Bescherm uw klanten beter tegen sms-malware

Card_malware_1200x628

U leest er overal over: criminelen doen zich via sms voor als een pakketbezorger en ze vragen hun slachtoffers een link te volgen die naar een website leidt waar een zogenaamde ‘track and trace’ app gedownload kan worden. Deze app bevat echter malware, en wanneer het slachtoffer de app installeert, kan de crimineel het toestel volledig overnemen.

Vandaag komt die sms namens de pakketbezorger, maar wat als ze morgen ineens úw bedrijfsnaam gebruiken in zo’n sms-actie? Onderstaande tips kunnen u in dat geval helpen de schade te beperken.

1. Communiceer duidelijk

Zorg voor een duidelijk communicatiebeleid.  Maak keuzes in hoe u omgaat met sms-berichten. Kiest u er bijvoorbeeld voor om bij het verzenden van een pakket zelf uw klant op de hoogte te houden, of laat u dit over aan de pakketbezorger? Stuurt u soms ook een reclameboodschap per sms, of gebruikt u sms alleen om een code toe te zenden tijdens het inloggen?

Verstuurt u de berichten zelf? Zorg er dan voor dat u álle zakelijke sms’jes vanaf één, voor uw klant bekend, telefoonnummer (of shortcode) verstuurt. Laat u de sms door een externe partij versturen? Spreek dan af dat zij uw telefoonnummer (of shortcode) gebruiken.

Zet u een link in de sms? Link dan alleen naar uw eigen domeinen en naar informatiepagina’s waar niet voor hoeft te worden ingelogd. Zo zien klanten makkelijk of de link betrouwbaar is. Een korte leesbare link op eigen domein is dan het handigst. Let er daarbij op dat klanten die makkelijk kunnen overtypen. Kies niet voor verkorte URL-diensten op domeinnamen van derden. Dit soort URL-inkorters verbergen de bestemming van de link en worden daarom vaak in phishingberichten gebruikt.

Met een goed doordacht én nageleefd beleid zorgt u voor een preventief effect doordat uw klant uw berichten eenvoudig kan controleren op eenduidigheid, herkenbaarheid en controleerbaarheid. Als u het daarmee de klant mogelijk maakt een check te doen op de vertrouwde combinatie van afzender én (het ontbreken van een) hyperlink , heeft u de belangrijkste stap gezet.

Tip: Laat uw sms berichten voor gebruik eens zien aan een kritisch klantpanel. Laat dat panel vooraf ook wat phishingberichten zien. Kan het panel uw eigen berichten overduidelijk onderscheiden van phishingberichten, zelfs als die middels spoofing van uw telefoonnummer afkomstig lijken te zijn? Dan kunt u de sms versturen.

2. Informeer klanten over het beleid

U zult merken dat klanten die doorhebben dat u op een bepaalde manier sms verstuurt een afwijking sneller als verdacht aanmerken. Als een klant twijfelt is het van belang dat hij contact met u kan opnemen, maar ook dat hij online eenvoudig na kan gaan of het bericht legitiem is. 

Zet daarom informatie over uw sms berichten op een goed vindbare pagina op uw website. Een voorbeeld van het beleid dat RegioBank volgt, staat op deze pagina. U kunt bijvoorbeeld deze tekst gebruiken om klanten te helpen uw berichten te onderscheiden van phishingberichten:

Zo herkent u een valse sms

  • Het bericht komt niet van het telefoonnummer van ‘(uw telefoonnummer)’
  • Het bericht bevat een link. Wij sturen nooit linkjes in een Sms. Een Sms bericht waarin een link staat is dus vals. Klik niet op de link en rapporteer deze bij ons
  • In de sms wordt gevraagd naar uw beveiligingscodes of persoonlijke gegevens.
  • In de sms wordt gedreigd met gevolgen als u niet meteen reageert.

3. Maak misbruik melden mogelijk

Blijf goed in contact met uw klanten. Vraag of ze verdachte sms-berichten melden. Bijvoorbeeld via een speciaal e-mailadres zoals “valse-email@” of door een schermafbeelding te sturen via een ander communicatiemiddel.

Probeer te voorkomen dat klanten 1-op-1 de sms mét de schadelijke link doorsturen. Veel mobieltjes openen die link dan alsnog op de achtergrond, en voor u het weet bent u zelf besmet met malware of grijpt een telecomaanbieder in.

Mocht de als verdacht aangemerkte sms toch een legitieme sms betreffen, dan kunt u verbeteringen doorvoeren die helpen voorkomen dat klanten uw sms bericht ook in de toekomst wantrouwen.

4. Informeer klanten ook proactief bij actieve campagnes

Ontvangt u berichten dat uw naam (of telefoonnummer/shortcode) wordt misbruikt? Informeer dan zo snel mogelijk uw klanten hierover. Plaats een waarschuwing op uw homepage. Zo voorkomt u dat klanten die twijfelen en op zoek gaan naar informatie alsnog slachtoffer worden.

Het publiekelijk delen van niet aangepaste schermafbeeldingen is niet gewenst. Het telefoonnummer dat gebruikt is voor het verzenden van de phishingberichten kan bijvoorbeeld ook van een slachtoffer zijn. Ook de link in het bericht of zelfs het tijdstip van ontvangst kan tot een slachtoffer te herleiden zijn. Zorg daarom bij publicatie van een schermafbeelding altijd dat deze volledig anoniem is gemaakt.

5. Niet vergeten: bescherm uw medewerkers

Ook uw medewerkers ontvangen zulke sms’jes. Zorg ervoor dat ook dan de schade beperkt blijft. Zelfs als uw collega een link in het bericht aanklikt. Stel de mobieltjes zo in dat er geen apps uit niet-officiële app-winkels geïnstalleerd kunnen worden. En zorg dat het toestel niet te ‘jailbreaken’ of ‘rooten’ is. Zo verkleint u de kans dat de malware daadwerkelijk geïnstalleerd wordt enorm.

Tip: Ontvangt u een sms van een leverancier die deze tips nog goed kan gebruiken? Deel deze dan!

Delen via