Il phishing è come la pesca in quanto utilizza un’esca o un’esca per catturare. Il phishing, tuttavia, si riferisce all’adescare una persona, spesso, ma non sempre, tramite un’e-mail, per rivelare importanti informazioni personali che potrebbero aiutare il truffatore di phishing ad accedere ad account o denaro o a rubare l’identità del bersaglio. SMiShing, o smishing, è l’abbreviazione di SMS phishing, ovvero phishing tramite messaggi SMS. Il termine è stato coniato il 25 agosto 2006 da David Rayhawk e utilizzato per la prima volta nel blog McAfee® Avert® Labs.
Considerando che l’obiettivo del phishing è spesso quello di fare in modo che l’obiettivo divulghi preziose informazioni personali – come numeri di carta di credito, numeri di conto bancario o nomi utente e password – dopo aver fatto clic su un qualche tipo di collegamento, SMiShing può richiedere una risposta o adottare un approccio diverso che comporta un download. In questo caso, l’obiettivo viene indotto a scaricare un virus o un malware, come un cavallo di Troia, sul proprio telefono cellulare.
Le minacce SMiShing hanno funzionato in vari modi. Uno dei primi è arrivato come messaggio SMS di conferma per un servizio di appuntamenti, dicendo al target che lui o lei sarebbe stato addebitato a meno che non fosse stato fatto clic su un collegamento per annullare. L’URL conteneva un prompt per scaricare un programma contenente un cavallo di Troia, che avrebbe trasformato il telefono cellulare in uno zombi, consentendo al truffatore di prenderne il controllo e possibilmente usarlo per attacchi DDoS (Distributed Denial of Service). In alternativa, la truffa SMiShing potrebbe consentire il download di spyware che consentirebbe al truffatore di intercettare le conversazioni tenute al telefono.
Il software antivirus e il software antimalware sono utili per prevenire gli attacchi SMiShing. Evitare di fare clic su messaggi di testo sospetti è un’altra strategia utile. In caso di dubbio, le e-mail che minacciano la chiusura dell’account o l’accesso negato, o addebiti a meno che non venga intrapresa un’azione, devono essere confermate tramite una telefonata piuttosto che rispondendo al messaggio stesso. È particolarmente importante non utilizzare alcun numero fornito nel messaggio stesso, ma trovare autonomamente il numero, ad esempio su una carta bancaria o di credito, nella rubrica o in qualche altro modo a prova di manomissione.
Alcuni istituti finanziari si impegnano ad avvisare i clienti degli stili di attacchi che sono stati segnalati, in modo che i clienti possano verificare se questo servizio è disponibile. Inoltre, i clienti possono segnalare messaggi sospetti alla fonte apparente, ma in una nuova e-mail, non facendo clic su “Rispondi”, e al loro provider di servizi Internet (ISP), per aiutare a prevenire la diffusione di SMiShing.