Phishing ist wie Fischen, da es Köder oder Köder verwendet, um einen Fang zu machen. Phishing bezieht sich jedoch auf das Anstiften einer Person – oft, aber nicht immer, durch eine E-Mail – um wichtige persönliche Informationen preiszugeben, die dem Phishing-Betrüger helfen könnten, Zugang zu Konten oder Geld zu erhalten oder die Identität des Ziels zu stehlen. SMiShing oder Smishing ist die Abkürzung für SMS-Phishing, d. h. Phishing mit SMS-Nachrichten. Der Begriff wurde am 25. August 2006 von David Rayhawk geprägt und erstmals im McAfee® Avert® Labs-Blog verwendet.
Während das Ziel von Phishing oft darin besteht, dass das Ziel wertvolle persönliche Informationen – wie Kreditkartennummern, Bankkontonummern oder Benutzernamen und Passwörter – preisgibt, kann SMiShing entweder eine Antwort anfordern oder einen anderen Ansatz verfolgen als beinhaltet einen Download. In diesem Fall wird das Ziel dazu verleitet, einen Virus oder eine Malware, beispielsweise ein Trojanisches Pferd, auf sein Mobiltelefon herunterzuladen.
SMiShing-Bedrohungen haben auf verschiedene Weise funktioniert. Eine frühe Nachricht kam als Bestätigungs-SMS für einen Dating-Dienst und teilte dem Ziel mit, dass es ihm oder ihr in Rechnung gestellt würde, es sei denn, ein Link zum Abbrechen wurde angeklickt. Die URL enthielt die Aufforderung, ein Programm herunterzuladen, das ein Trojanisches Pferd enthält, das das Handy in einen Zombie verwandelt, der es dem Betrüger ermöglicht, die Kontrolle darüber zu übernehmen und es möglicherweise für Distributed-Denial-of-Service-Angriffe (DDoS) zu verwenden. Alternativ kann der SMiShing-Betrug das Herunterladen von Spyware ermöglichen, die es dem Betrüger ermöglichen würde, am Telefon geführte Gespräche zu belauschen.
Antiviren- und Anti-Malware-Software sind nützlich, um SMiShing-Angriffe zu verhindern. Das Klicken auf verdächtige Textnachrichten zu vermeiden, ist eine weitere nützliche Strategie. Im Zweifelsfall sollten E-Mails, die mit der Schließung des Kontos oder der Verweigerung des Zugriffs oder mit Gebühren verbunden sind, wenn keine Maßnahmen ergriffen werden, per Telefonanruf bestätigt werden, anstatt auf die Nachricht selbst zu antworten. Besonders wichtig ist es, keine in der Nachricht selbst angegebene Nummer zu verwenden, sondern die Nummer selbstständig zu finden, beispielsweise auf einer Bank- oder Kreditkarte, im Telefonbuch oder auf andere Weise manipulationssicher.
Einige Finanzinstitute weisen Kunden auf die gemeldeten Angriffsarten hin, damit Kunden überprüfen können, ob dieser Dienst verfügbar ist. Außerdem können Kunden verdächtige Nachrichten der offensichtlichen Quelle melden – jedoch in einer neuen E-Mail, nicht durch Klicken auf „Antworten“ – und ihrem Internet Service Provider (ISP), um die Verbreitung von SMiShing zu verhindern.