Phishing je poput ribolova jer koristi mamac ili mamac za ulov. Krađa identiteta, međutim, odnosi se na mamljenje osobe – često, ali ne uvijek, putem e-pošte – kako bi se otkrili važni osobni podaci koji bi prevarantu mogli pomoći da dobije pristup računima ili novcu ili da ukrade identitet cilja. SMiShing ili smishing je skraćenica od SMS phishing, odnosno phishing putem SMS poruka. Termin je 25. kolovoza 2006. skovao David Rayhawk i prvi put korišten na blogu McAfee® Avert® Labs.
Dok je cilj krađe identiteta često da cilj otkrije vrijedne osobne podatke – kao što su brojevi kreditnih kartica, brojevi bankovnih računa ili korisnička imena i lozinke – nakon što klikne neku vrstu veze, SMiShing može ili zatražiti odgovor ili poduzeti drugačiji pristup koji uključuje preuzimanje. U tom slučaju, cilj je prevaren da preuzme virus ili zlonamjerni softver, kao što je trojanski konj, na svoj mobilni telefon.
SMiShing prijetnje su djelovale na različite načine. Rani je došao kao SMS poruka potvrde za uslugu za sastanke, u kojoj se govori da će mu ili njoj biti naplaćeno osim ako se klikne na vezu za otkazivanje. URL je sadržavao upit za preuzimanje programa koji sadrži trojanskog konja, koji bi mobitel pretvorio u zombija, dopuštajući prevarantu da preuzme kontrolu nad njim i eventualno ga koristi za distribuirane napade uskraćivanja usluge (DDoS). Alternativno, prijevara SMiShing može dopustiti preuzimanje špijunskog softvera koji bi prevarantu omogućio da prisluškuje razgovore koji se vode na telefonu.
Antivirusni softver i softver protiv zlonamjernog softvera korisni su u sprječavanju SMiShing napada. Izbjegavanje klikanja na sumnjive tekstualne poruke još je jedna korisna strategija. Kada ste u nedoumici, e-poruke koje prijete zatvaranjem računa ili odbijanjem pristupa ili naplatom, osim ako se ne poduzme radnja, trebaju se potvrditi telefonskim pozivom, a ne odgovorom na samu poruku. Posebno je važno ne koristiti bilo koji broj naveden u samoj poruci, već samostalno pronaći broj, na primjer, na bankovnoj ili kreditnoj kartici, u telefonskom imeniku ili na neki drugi način zaštićen od neovlaštenog pristupa.
Neke financijske institucije nastoje upozoriti korisnike na stilove prijavljenih napada kako bi korisnici mogli provjeriti je li ova usluga dostupna. Također, korisnici mogu prijaviti sumnjive poruke očiglednom izvoru – ali u novoj e-pošti, a ne klikom na ‘Odgovori’ – i svom davatelju internetskih usluga (ISP), kako bi spriječili širenje SMiShinga.