El phishing es como pescar, ya que utiliza cebo o señuelo para atraparlo. Sin embargo, la suplantación de identidad se refiere a hostigar a una persona, a menudo, pero no siempre, a través de un correo electrónico, para revelar información personal importante que podría ayudar al estafador de suplantación de identidad a obtener acceso a cuentas o dinero o robar la identidad del objetivo. SMiShing, o smishing, es la abreviatura de phishing de SMS , es decir, phishing usando mensajes SMS. El término fue acuñado el 25 de agosto de 2006 por David Rayhawk y se utilizó por primera vez en el blog de McAfee® Avert® Labs.

Mientras que el objetivo del phishing es que el objetivo divulgue información personal valiosa, como números de tarjetas de crédito, números de cuentas bancarias o nombres de usuario y contraseñas, después de hacer clic en algún tipo de enlace, SMiShing puede solicitar una respuesta o adoptar un enfoque diferente que implica una descarga. En este caso, se engaña al objetivo para que descargue un virus o malware, como un caballo de Troya, en su teléfono móvil.

Las amenazas SMiShing han funcionado de varias maneras. Uno de los primeros llegó como un mensaje SMS de confirmación para un servicio de citas, diciéndole al objetivo que se le cobraría a menos que se haga clic en un enlace para cancelar. La URL contenía un mensaje para descargar un programa que contenía un caballo de Troya, que convertiría el teléfono celular en un zombi, permitiendo que el estafador tome el control y posiblemente lo use para ataques distribuidos de denegación de servicio (DDoS). Alternativamente, la estafa SMiShing podría permitir la descarga de spyware que le permitiría al estafador escuchar a escondidas las conversaciones mantenidas en el teléfono.

El software antivirus y el software antimalware son útiles para ayudar a prevenir ataques SMiShing. Evitar hacer clic en mensajes de texto sospechosos es otra estrategia útil. En caso de duda, los correos electrónicos que amenacen el cierre de la cuenta o el acceso denegado, o los cargos, a menos que se tomen medidas, deben confirmarse mediante una llamada telefónica en lugar de responder al mensaje en sí. Es particularmente importante no usar ningún número dado en el mensaje en sí mismo, sino encontrar el número de forma independiente, por ejemplo, en una tarjeta bancaria o tarjeta de crédito, en la guía telefónica, o de alguna otra manera a prueba de manipulaciones.

Algunas instituciones financieras hacen un punto de alerta a los clientes sobre los estilos de ataques que se han informado, para que los clientes puedan verificar si este servicio está disponible. Además, los clientes pueden informar mensajes sospechosos a la fuente aparente, pero en un correo electrónico nuevo, no haciendo clic en 'Responder', y a su Proveedor de servicios de Internet (ISP), para ayudar a prevenir la propagación de SMiShing.