Lo smishing è una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco. Il criminale compie l'attacco con l'intento di raccogliere informazioni personali, compresi il codice fiscale e/o il numero di carta di credito. Lo smishing viene attuato attraverso messaggi di testo o SMS, da cui il nome "SMiShing".
Gli attacchi di smishing utilizzano gli SMS, più comunemente noti come messaggi di testo. Questa forma di attacco è diventata sempre più popolare a causa del fatto che le persone sono più propense a fidarsi di un messaggio che arriva sul loro telefono attraverso un'app di messaggistica piuttosto che da un messaggio consegnato tramite email.
Anche se molte vittime non associano le truffe di phishing ai messaggi di testo personali, la verità è che è più facile per i malintenzionati trovare il numero di telefono che l'email di una vittima. Nel caso dei numeri di telefono esiste un numero finito di opzioni: negli Stati Uniti un numero di telefono è composto da 10 cifre.
Al contrario, un indirizzo email non è limitato nelle dimensioni, anche se è previsto un numero ragionevole di caratteri. Le email possono includere numeri, lettere e simboli come !, #, %, ad esempio. È molto più facile mettere insieme dieci cifre a caso per raggiungere una vittima che entrare in contatto con una persona tramite un indirizzo email.
L'hacker può semplicemente inviare messaggi a tutte le combinazioni di cifre della stessa lunghezza di un numero di telefono. Possono provare tutte le combinazioni di cifre senza pericolo e senza sbagliare.. Gartner riferisce che il 98% dei messaggi di testo viene letto e il 45% riceve risposta. Questo rende estremamente logico per gli hacker utilizzare i messaggi di testo come vettore di attacco, soprattutto quando, come riportato da Gartner, solo il 6% delle email riceve risposte.
Con un messaggio di testo l'hacker può tentare di raggiungere diversi tipi di risultati. Questo include il furto di dati personali dell'utente, spacciandosi per un rappresentante della sua banca. Può cercare di far cliccare l'utente su un collegamento incluso nel messaggio di testo per connettersi al sito web della banca e verificare un recente addebito sospetto. L'hacker potrebbe chiedere di chiamare il numero del servizio clienti, incluso per comodità nel messaggio di testo, per parlare di un recente addebito sospetto o di un account compromesso.
Per sottrarre informazioni sensibili, gli hacker tentano anche di usare misure che fanno leva sui sentimenti. Un esempio sono i messaggi riguardanti i soccorsi per gli uragani in cui i malintenzionati chiedono una donazione per beneficenza. L'hacker chiede di cliccare sul collegamento incluso e di inserire i dati della carta di credito, l'indirizzo e spesso il codice fiscale. Una volta che l'hacker ottiene il numero di carta di credito, questi può anche generare un addebito sulla carta di credito su base mensile per evitare di allarmare il titolare.
Un altro esempio di attacco smishing è un'offerta del provider che propone uno sconto su un servizio o un aggiornamento del telefono. Il messaggio esorta a cliccare sul collegamento fornito per attivare l'offerta. Una volta raggiunta la pagina web falsificata che riproduce il sito del provider, il sito chiede di confermare il numero di carta di credito, l'indirizzo e magari anche il codice fiscale. Bisogna ricordare che se è troppo bello per essere vero, probabilmente lo è.
Il phishing effettuato utilizzando un programma di messaggistica istantanea gratuito come Facebook Messenger o WhatsApp non rientra tecnicamente nell'ambito dello smishing, ma è strettamente correlato. L'hacker sfrutta il crescente livello di comfort che gli utenti hanno nell'aprire messaggi e rispondere a sconosciuti attraverso le piattaforme di social media.
Come un vero schema di phishing, l'obiettivo dell'attacco è la comunicazione di dati personali, tra cui password e/o numeri di carte di credito, al malintenzionato. Per ottenere tali informazioni, l'aggressore può proporre un'offerta o qualcosa di valore. In queste offerte è spesso incluso un collegamento cliccabile.
Mentre un messaggio da uno sconosciuto in cerca di informazioni è spesso un buon indicatore di un possibile schema di phishing di messaggistica istantanea, questi attacchi possono sembrare provenire da persone che l'utente conosco e con cui è già in contatto. Questo accade spesso quando l'account di un contatto dell'utente su un social media è stato a sua volta violato o spoofato.