A smishing vagy SMS phising egy olyan speciális, a felhasználó megtévesztésére irányuló adathalász célú kibertámadás, melyhez az üzenetek SMS-en keresztül terjednek.

A phising, vagyis adathalász támadások egy formája, ahol az SMS-ben küldött szöveggel megtévesztik az áldozatot és ráveszik arra, hogy érzékeny, értékes információkat osszon meg magáról (a telefonos, beszélgetős változata a vishing). Az SMS phising támadásokhoz kapcsolódó kártékony vagy csaló weboldalakat használnak.

Az okostelefonokon az SMS-ben vagy chat programban küldött linkekről ugyanúgy megnyílnak a weboldalak, mintha a linkek e-mailben érkeztek volna, viszont az SMS-t sokkal személyesebb, megbízhatóbb csatornának érzik a felhasználók.

Az üzenetek általában egyszerű, de nagyon hatékony módszertanra épülnek. Többnyire valódi vagy valódinak tűnő személy nevében érkezik az üzenet, mely bizalmat épít. A kontextus szintén valódinak tűnik: „csomagja érkezett” – olyan általános szituáció, melyben sokan magukra ismerhetnek. Harmadrészt pedig érzelmeket váltanak ki az áldozatból, sürgetik, rövid ideig elérhető nyereménnyel hitegetik, különlegesen szerencsésnek állítják be – ami miatt a célpont kevésbé gondolkodik kritikusan, hajlamos felülírni saját józan elővigyázatosságát.

Így a smishing is az úgynevezett „social engineering” típusú támadások közé tartozik, amikor az adatlopás nem technológiai sebezhetőségek kihasználásával, hanem a felhasználó becsapásával, megtévesztésével történik meg. A kiberbűnözők általában belépési adatokat vagy fizetésre alkalmas bankkártyaadatokat igyekeznek megszerezni, hogy ezekkel további bűncselekményeket követhessenek el.

A smishing támadások egy fajtája, amikor egy kártékony alkalmazás (malware) letöltésére próbálják rávenni a felhasználót, ami a telepítés után egy legális alkalmazásnak tűnik, de a háttérben hozzáfér a mobilon tárolt további kontaktadatokhoz, jelszavakhoz, helyadatokhoz. Gyakori, hogy ilyenkor nem csak az adatok ellopása történik, hanem a megfertőzött mobilról az áldozat számlájának terhére küldött (akár több ezer) üzenetben terjed tovább a kártevő.

A másik eset, amikor az üzenetben érkezett link egy hamis weboldalra vezet, ami esetleg megtévesztésig hasonlít egy valódi weboldalra, például egy internetbank belépési oldalára vagy egy logisztikai cég csomagkövetési oldalára. A weboldal többnyire egy vészhelyzetre hivatkozva igyekszik rávenni a felhasználót, hogy azonnal adja meg belépési adatait és bankkártyaadatait, jelszavait.

Mivel terjed az otthoni munkavégzés, és egyre több esetben élnek a vállalatok a BYOD, vagyis a saját digitális eszközök céges használatának lehetőségével, ezért ez már komoly üzleti kockázatot is jelent, ugyanis a figyelmetlen munkavállalókon keresztül lehetséges betörni jól őrzött vállalati rendszerekbe is.