Smishing to rodzaj phishingu skierowanego na telefony komórkowe. Celem przestępcy jest zgromadzenie danych osobowych, takich jak na przykład numer ubezpieczenia społecznego lub numer karty kredytowej. Drogą ataku są wiadomości tekstowe lub SMS i stąd wzięła się nazwa – „SMiShing”.
Ataki smishingowe wykorzystują usługę wysyłania krótkich wiadomości tekstowych, czyli SMS-ów, które powszechnie nazywa się wiadomościami tekstowymi. Ten rodzaj ataku zyskał popularność dzięki temu, że ludzie zwykle chętniej ufają wiadomościom przychodzącym w aplikacji SMS na ich telefonach niż wiadomościom e-mail.
Choć wiele ofiar nie utożsamia phishingu z SMS-ami, to prawda jest taka, że przestępcom łatwiej jest zdobyć czyjś numer telefonu niż jego adres e-mail. Liczba możliwych numerów telefonu jest ograniczona – w USA numer telefoniczny składa się z 10 cyfr.
Natomiast długość adresu e-mail nie ma ograniczeń, chociaż są pewne zdroworozsądkowe wytyczne. Ponadto adres poczty elektronicznej może zawierać cyfry, litery i symbole – !, # i %. O wiele łatwiej jest wygenerować losowy ciąg dziesięciu cyfr, który pozwoli na skontaktowanie się z jakąś osobą niż znalezienie kontaktu za pomocą losowo wygenerowanego adres e-mail.
Haker może po prostu wysyłać wiadomości tekstowe na numery, które są losowymi kombinacjami dziesięciu cyfr. Może to powtarzać do woli z różnymi kombinacjami cyfr bez żadnych szkodliwych konsekwencji. Z badań przeprowadzonych przez Gartner wynika, że 98% wiadomości tekstowych zostaje odczytanych, a 45% z nich doczekuje się odpowiedzi. Nic więc dziwnego, że ten sposób ataku jest atrakcyjny dla hakerów, zwłaszcza gdy weźmie się pod uwagę fakt, że według tych samych badań tylko 6% wiadomości e-mail uzyskuje odpowiedź.
Haker może próbować osiągnąć wiele różnych celów za pomocą wiadomości tekstowych. Może na przykład wykraść dane osobowe, podszywając się pod przedstawiciela banku. Może próbować skłonić kogoś do kliknięcia odnośnika w wiadomości tekstowej w celu połączenia ze stroną WWW banku i zweryfikowania podejrzanej transakcji. Ewentualnie haker może zawrzeć w wiadomości prośbę o kontakt telefoniczny pod podany numer, aby uzyskać więcej informacji o ostatnio wykrytej podejrzanej transakcji lub podejrzeniu włamania na konto.
Ponadto hakerzy stosują sztuczki mające na celu wywołanie współczucia, aby zdobyć wrażliwe informacje. Przykładem są wiadomości na temat pomocy ofiarom huraganu, w których przestępca prosi o datek dobroczynny. Haker prosi o kliknięcie podanego odnośnika i wpisanie danych karty kredytowej, adresu i często także numeru ubezpieczenia społecznego. Kiedy przestępca zdobędzie czyjś numer karty kredytowej, może pobierać z niej środki raz na miesiąc, aby nie budzić podejrzeń.
Innym przykładem ataku smishingowego jest oferta rabatu od operatora sieci komórkowej na usługę lub nowy telefon. Wiadomość zachęca do kliknięcia podanego odnośnika, aby skorzystać z okazji. Kiedy ofiara wejdzie na spreparowaną przez hakera stronę WWW przypominającą stronę operatora, zostaje poproszona o potwierdzenie swojego numeru karty kredytowej, adresu i numeru ubezpieczenia społecznego. Pamiętaj, że jeśli coś brzmi zbyt pięknie, by było możliwe, to właśnie tak jest.
Phishing z wykorzystaniem komunikatora internetowego, na przykład Messengera Facebooka lub WhatsApp, nie mieści się ściśle w definicji smishingu, ale jest z nim blisko spokrewniony. Hakerzy wykorzystują to, że użytkownicy coraz odważniej otwierają wiadomości od nieznajomych w mediach społecznościowych i nawet na nie odpowiadają.
Tak jak w przypadku typowego phishingu, celem tego ataku jest skłonienie ofiary do przekazania swoich danych osobowych, w tym haseł i numerów kart kredytowych, przestępcy. Aby uzyskać takie informacje, haker może zaproponować jakąś okazyjną ofertę lub coś cennego. Oferty takie zazwyczaj zawierają łącze, które można kliknąć.
Podczas gdy prośba o jakiekolwiek informacje od nieznajomego jest silnym sygnałem, że mamy do czynienia z phishingiem przez komunikator internetowy, to tego typu wiadomości mogą także wyglądać, jakby były wysyłane przez osoby, które znamy i z którymi jesteśmy połączeni. Często dzieje się tak, gdy przestępcy przejmą lub podrobią konto naszego znajomego z mediów społecznościowych.