Co bardziej wytrawni użytkownicy komputerowi zdają sobie sprawę z istnienia słowa phishing, niebezpieczeństw z nim związanych i choć podstawowych zasad działania i obrony: Nie ufaj linkom przychodzącym w e-mailu, nie klikaj, nie podawaj haseł (w dużym uproszczeniu). A jak zareagujemy na podobną formę ataku ale via całkowicie odmienne medium transmisyjne jakim jest na przykład SMS?
SMiShing to nic innego jak forma phishingu, która wykorzystuje do przejęcia newralgicznych danych, nie strony WWW, a krótkie wiadomości tekstowe przesyłane bezpośrednio na telefon komórkowy. Jak opisuje RSnake na swoim blogu o bezpieczeństwie, jego dziewczyna dostała wiadomość SMS informującą o zablokowaniu konta Key Point Credit Union (firma dostarczająca usługi bankowe). W celu odblokowania, została zaproszona do wykonania rozmowy telefonicznej (0800 wiec za całkowitą darmochę) i zweryfikowania poprawności danych. Nie trzeba nigdzie dzwonić aby wiedzieć, że po drugiej stronie odezwie się automat, który miłym głosem pobierze wszelkie dane potrzebne do kradzieży środków finansowych. Co ciekawe ale nie specjalnie zaskakujące odbiorczyni SMSa nie posiada konta w tejże firmie. I teraz podobnie jak w przypadku adresów emailowych i phishingu, przestępcy zapłaciliby krocie, za bazę danych numerów telefonów klientów danej firmy. Nie musieliby wysyłać SMSów na losowe numery. Obniżając koszty, drastycznie zwiększyliby skuteczność, która przekładałaby się na zwiększone zyski :]
I przykładowo uwzględniając fakt, że niekoniecznie do wysyłania SMSów wykorzystana zostania jakaś usługa stricte komórkowa (ciekawe ile kosztuje u operatora GSM wykupienie na przykład wysłania 1 mln smsów :), a na przykład możliwość wysłania smsów ze strony WWW czy mailem, to użycie do tego celu maszyn zarażonych botami wydaje się pięknym rozwiązaniem :]