El phishing es como pescar en el sentido de que utiliza un cebo o un señuelo para capturar. Sin embargo, el phishing se refiere a provocar a una persona, a menudo, pero no siempre, a través de un correo electrónico, para revelar información personal importante que podría ayudar al estafador de phishing a obtener acceso a cuentas o dinero o robar la identidad del objetivo. SMiShing, o smishing, es la abreviatura de phishing por SMS, es decir, phishing mediante mensajes SMS. El término fue acuñado el 25 de agosto de 2006 por David Rayhawk y se utilizó por primera vez en el blog McAfee® Avert® Labs.
Mientras que el objetivo del phishing a menudo es que el objetivo divulgue información personal valiosa, como números de tarjetas de crédito, números de cuentas bancarias o nombres de usuario y contraseñas, después de hacer clic en algún tipo de enlace, SMiShing puede solicitar una respuesta o adoptar un enfoque diferente que implica una descarga. En este caso, se engaña al objetivo para que descargue un virus o malware, como un caballo de Troya, en su teléfono móvil.
Las amenazas de SMiShing han funcionado de diversas formas. Uno de los primeros llegó como un mensaje SMS de confirmación para un servicio de citas, que le decía al objetivo que se le cobraría a menos que se hiciera clic en un enlace para cancelar. La URL contenía un mensaje para descargar un programa que contenía un caballo de Troya, que convertiría el teléfono celular en un zombi, lo que permitiría al estafador tomar el control y posiblemente usarlo para ataques distribuidos de denegación de servicio (DDoS). Alternativamente, la estafa de SMiShing podría permitir la descarga de software espía que permitiría al estafador espiar conversaciones mantenidas en el teléfono.
El software antivirus y el software antimalware son útiles para ayudar a prevenir ataques SMiShing. Evitar hacer clic en mensajes de texto sospechosos es otra estrategia útil. En caso de duda, los correos electrónicos que amenacen con el cierre de la cuenta o el acceso denegado, o los cargos, a menos que se tomen medidas, deben confirmarse mediante una llamada telefónica en lugar de responder al mensaje en sí. Es particularmente importante no utilizar ningún número dado en el mensaje en sí, sino encontrar el número de forma independiente, por ejemplo, en una tarjeta bancaria o tarjeta de crédito, en la guía telefónica o de alguna otra forma a prueba de manipulaciones.
Algunas instituciones financieras se esfuerzan por alertar a los clientes sobre los estilos de ataques que se han informado, para que los clientes puedan verificar si este servicio está disponible. Además, los clientes pueden informar los mensajes sospechosos a la fuente aparente, pero en un correo electrónico nuevo, sin hacer clic en «Responder», y a su Proveedor de servicios de Internet (ISP), para ayudar a prevenir la propagación de SMiShing.