Phishers gebruiken in België op grote schaal simkaarten van Telenet om nep-sms’jes te versturen. Het gaat om smishing, waarbij slachtoffers via een link naar een valse site worden gelokt. De kaarten zijn snel en goedkoop te activeren, wat misbruik makkelijk maakt. Op het moment van schrijven is geen nieuw ingrijpend tegenplan van Telenet publiek bekend, terwijl de schade voor burgers blijft oplopen.
Simkaarten voeden smishing
Smishing is phishing via sms. Criminelen sturen duizenden berichten per uur met een link naar een valse bank-, pakket- of overheidssite. Met een simkaart per telefoon of met een zogenoemde simbox, een toestel met veel simslots, schalen zij razendsnel op.
Een simkaart die snel online te activeren is, zonder fysieke winkelstap, is extra aantrekkelijk. Lage tarieven en ruime sms-bundels verlagen de drempel verder. Als er weinig controle is op ongewoon verzendgedrag, blijft zo’n kaart lang bruikbaar voor fraude.
Telenet is in België een grote speler in mobiele telefonie en levert ook via het BASE-netwerk. Wanneer één aanbieder relatief soepel blijft voor bulk-sms vanaf consumentenabonnementen, verschuiven bendes daar massaal heen. De Benelux ziet daardoor golven van berichten over bpost, itsme, banken en webwinkels.
Smishing: een vorm van phishing waarbij fraudeurs via sms’jes een link sturen naar een valse website om inloggegevens of geld te stelen.
Waarom drempels niet werken
Beveiliging rond sms-verkeer leunt op meerdere lagen. Denk aan klantcontrole bij activatie (ken-je-klant), limieten per nummer en slimme filters op het netwerk. Als één laag zwak is, vinden criminelen een gat.
Registratie van prepaidkaarten is in België verplicht, maar online verificatie kan te oppervlakkig zijn. Criminelen gebruiken dan valse of gelekte identiteitsgegevens. Ook “sim-swaps” en doorverkoop van geactiveerde kaarten blijven een kanaal.
Slimme filters, vaak gestuurd door algoritmen, herkennen patronen in tekst en verzendsnelheid. Maar deze systemen missen berichten als de inhoud telkens wijzigt of in kleine batches wordt verstuurd. Dan zijn strengere snelheidslimieten en reputatiescores per nummer nodig.
EU-regels vergroten druk
Telecombedrijven vallen onder strenge Europese en nationale veiligheidseisen. NIS2 verplicht, op het moment van schrijven, essentiële aanbieders tot risicobeheer en incidentmelding. Dat omvat ook grootschalig misbruik van netwerken voor fraude.
De AVG vraagt dataverwerking te beperken en te beveiligen. Voor anti-fraude betekent dit: zo veel mogelijk anoniem en geaggregeerd werken, met duidelijke bewaartermijnen. Transparantie over gebruikte algoritmen helpt vertrouwen en controle.
De Europese AI-verordening (AI Act) zet kaders voor inzet van algoritmen met beperkt risico, zoals spamdetectie. Overheden in Nederland en België verwachten dat aanbieders uitleg geven over detectiemethoden en klachtenroutes. Dat is relevant voor burgers die onterecht worden geblokkeerd of last hebben van misbruik.
Techniek die wel helpt
Netwerken kunnen simfarm-gedrag herkennen. Dit zijn patronen zoals veel korte berichten met vergelijkbare links, plotselinge pieken per cel of een simkaart die in korte tijd van toestel wisselt. Zo’n profiel kan automatisch worden afgeremd of geblokkeerd.
AI-gestuurde filters scoren links op risico en controleren domeinreputatie. Een domein dat net is geregistreerd en meteen in sms’jes opduikt, is verdacht. Door linkverkorters extra te controleren, zakt de opbrengst van smishingcampagnes snel in.
Strakkere snelheidslimieten per sim en IMEI (toestel-ID) beperken schade. Ook samenwerking met banken, pakketbezorgers en CERT’s zorgt voor snellere delisting van malafide sites. Dit verkort de levensduur van phishingpagina’s van dagen naar uren of zelfs minuten.
Gevolgen voor burgers en banken
Voor burgers blijft sms-otp kwetsbaar. Eenmalige codes via sms zijn vatbaar voor omleiding, doorstuurapps of social engineering. Banken in Nederland en België stappen daarom versneld over op app-push en biometrie, die minder afhankelijk zijn van sms.
Publieke diensten zoals DigiD en itsme verlagen risico’s met ingebouwde waarschuwingen en domeincontroles. Toch blijven imitatieberichten rondgaan. Heldere waarschuwingen in apps en op websites helpen, mits ze kort en concreet zijn.
Financiële schade en herstelkosten lopen op. Banken vergoeden vaak deels, maar slachtoffers verliezen tijd en vertrouwen. Snellere netwerkblokkades en gezamenlijke “takedowns” verlagen de schade voor iedereen.
Wat Telenet nu kan doen
Voer sterkere verificatie in bij online activatie, met realtime checks op document- en nummerreputatie. Combineer dit met strengere standaardlimieten voor nieuwe simkaarten. Verhoog pas na weken zonder misbruik gecontroleerd de plafonds.
Publiceer een transparant anti-misbruikbeleid met meetbare doelen. Denk aan maandelijks aantal geblokkeerde smishingcampagnes, gemiddelde reactietijd en samenwerking met politie en BIPT. Een meldpunt voor burgers en bedrijven versnelt de respons.
Gebruik AI-modellen die passen binnen de AI Act en de AVG. Documenteer de werking, houd menselijke controle en bied bezwaar bij foutieve blokkades. Zo ontstaat een evenwicht tussen veiligheid en rechten van klanten, én droogt het misbruik via simkaarten op.
