スミッシング攻撃の仕組みは、他のタイプのフィッシング攻撃とよく似ています。 詐欺師は、偽のメッセージや悪意のあるリンクを利用して、人々をだまし、携帯電話、銀行口座、または個人データを侵害します。 他のタイプのフィッシング攻撃と異なるのは、スミッシングはEメールや電話ではなく、SMSやメッセージ・アプリを使用して行われることです。

詐欺師にとって、テキスト・メッセージは、 Eメールよりも利点があります。 人々は、銀行やブランド店がSMSを使用して、連絡してくることに慣れています。 そのため、人々がテキスト・メッセージのリンクをクリックする可能性も上がります。 Constant Contact社（ibm.com外部へのリンク）によると、Eメールで受信したリンクの平均クリック率は1.33%です。 一方、Klaviyo社のレポートによると、SMSで受信したリンクののクリックスルー率は、8.9%から14.5%（ibm.com外部へのリンク）です。

技術的なレベルの話になると、詐欺師は、スミッシング・メッセージの方が簡単に発信元を隠せます。 電話番号をスプーフィングしたり、使い捨ての携帯電話を使用したり、ソフトウェアを使用してEメールでテキストを送信することもできます。 携帯電話では、危険なリンクを見つけ出すことも難しくなります。 コンピューター上では、ユーザーはリンクの上にマウスのカーソルを重ねることで、実際にどのページに移動するのかを確認できます。 スマートフォンにはこのオプションがありません。 さらに、人々は実際のブランド店からのテキスト メッセージで短縮URLを目にすることに慣れています。

2020年に、米国連邦通信委員会（FCC） は、通信事業者に、STIR/SHAKENプロトコル（ibm.com外部へのリンク）の採用を義務付けました。 STIR/SHAKENは電話の呼び出しを認証します。 そのため、一部の携帯電話では、「詐欺の可能性があります」または「スパムの可能性があります」というメッセージが表示されるようになりました。 STIR/SHAKENにより、詐欺の電話の発見は容易になりましたが、テキスト・メッセージには影響がありません。 そのため、多くの詐欺師はスミッシング攻撃に焦点を移すように変わってきています。

その他ののソーシャル・エンジニアリング同様に、スミッシング攻撃はプリテキスティングを利用します。 プリテキスティングとは、偽のストーリーを使用して被害者の感情を再現し、だまして詐欺師にお金が入るように誘導することです。 プリテキスティング・スミッシングに共通する手口の一部として、以下が挙げられます。

• 金融機関になりすます。 詐欺師は、被害者の銀行口座に問題があるというアラートを出します。 被害者がリンクをたどると、偽のWebサイト、またはアプリケーションに誘導され、暗証番号、パスワード、銀行口座、クレジット・カード番号などの機密性の高い金融情報を盗まれてしまいます。 2018年、 詐欺師の集団 （ibm.com外部へのリンク）が、この方法を使用して、Fifth Third Bank銀行の顧客から10万米ドルをだまし取りました。

• 官公庁・自治体になりすます。 詐欺師は、警察官、IRSの担当者、またはその他の官公庁・自治体の役人になりすます可能性があります。 この手の詐欺によるスミッシング・テキストは、多くの場合、被害者が罰金を支払う義務があるか、官公庁・自治体の手当を申請するための行動が必要であると要求してきます。 例えば、新型コロナウイルス感染症パンデミックの影響で、連邦取引委員会（FTC）は、税の緩和措置や、新型コロナウイルス検査や同様のサービスを申し出る スミッシング攻撃 （ibm.com）について警告しています。 被害者がこれらのテキスト・メッセージのリンクをたどると、詐欺師が、IDを盗むために、社会保障番号や、その他の情報を盗みます。 

• カスタマー・サポートになりすます。 攻撃者は、AmazonやMicrosoftなどの信頼性の高いブランド、さらには被害者のワイヤレス通信サービス・プロバイダーを装います。 攻撃者は通常、被害者の口座に問題があるか、未申請の報酬または払い戻しがあると言ってきます。 通常、これらのテキスト・メッセージは被害者を偽のWebサイトに誘導し、クレジット・カード情報や銀行情報を盗みます。

• パッケージ詐欺。 このタイプのスミッシング メッセージは、FedExやUPSのような運送会社、またはその他米国の郵便サービスからであることを主張します。 詐欺師は、ターゲットに対し、荷物の配送に問題があったと伝えてきます。 被害者は、問題点を修正するために、「配送料金」を支払うか、詐欺師のアカウントにサインインするよう求められます。 もちろん、詐欺師はお金やアカウント情報を持って逃げてしまいます。 こうしたSMSを利用したフィッシング攻撃の多くは、多くの人が荷物を待っている休日の前後によく見られます。 

• ビジネス・テキスト侵害詐欺。 ビジネスEメール詐欺と同様に、ハッカーは、緊急の作業で助けが必要な人の上司になりすまします。 ビジネスEメール詐欺との違いは、詐欺師がこのバージョンの攻撃にSMSメッセージを使用することです。 多くの場合、これらの詐欺は被害者がハッカーに送金することで終わります。

• 間違った番号詐欺。 詐欺師は、「間違った番号」にテキストを送信したふりをします。 被害者が詐欺師の「間違い」を修正すると、詐欺師は被害者と友好的な関係を始めるふりをして会話を進めます。 これは長期にわたる詐欺となる傾向があり、詐欺師は数か月または数年にわたって連絡を繰り返し、被害者の信頼を得ようとします。 詐欺師は、被害者にロマンチックな感情を膨らませるように装うことさえあります。 目標は、偽の投資の機会、ローンの要求、または同様の話を通じて、最終的に被害者のお金を盗むことです。

• 多要素認証（MFA）詐欺。 ハッカーは、被害者のMFAコードを盗み、ソーシャル・メディア、Eメール、銀行アカウントに侵入しようとします。 MFA詐欺のシナリオとしてよくあるのは、ハッカーが、被害者の友人の1人を装うことです。 ハッカーは、被害者のInstagramやFacebookのアカウントがロックされたことを伝え、解除のためにはコードを受け取る必要があると言います。 被害者は、MFAを取得しますが、実際には、被害者自身のアカウントに必要なもので、それをハッカーに渡してしまうことになります。

• 偽アプリケーションのダウンロード。 一部のスミッシング詐欺では、被害者をだまして偽のアプリケーションをダウンロードさせ、それが実際にはマルウェアや ランサムウェアになっています。 マルウェアは、多くの場合、ファイル・マネージャー、ウイルス対策アプリ、またはマネー・レンディング・アプリを装っています。 これらのアプリは正当なものに見えるかもしれませんが、密かに被害者の機密データを取り込み、機密データを人質にとります。 

多くのサイバーセキュリティーの専門家は、スミッシングは今後数年間で、さらに増えると考えています。 Proofpoint社のCISOのLucia Milică氏（ibm.com外部へのリンク）は、スミッシング・ツールがマルウェア市場で急増し、技術に精通していない詐欺師でもマルウェア・テキストを送信できるようになってしまうと考えています。

Gartner社の予測（ibm.com外部へのリンク）によると、テキスト、 Eメール、電話、その他の通信チャネルを結合しようとする「マルチチャネル」フィッシングを試みるケースが増加するということです。 北朝鮮が支援するハッカー集団のLazarus Groupは、マルチチャネル戦術を使用することで知られています。 例えば、同グループは偽のLinkedIn プロフィールを使用して、仮想通貨取引所の採用者を装います（ibm.com外部へのリンク）。 ハッカーは、採用についての話があるとだまして、被害者に連絡します。 ハッカーは、LinkedInからSMS やWhatsAppに会話場所を移動し、被害者をだましてトロイの木馬やその他のマルウェアをダウンロードさせます。 

FCC社（ibm.com外部へのリンク）は、ワイヤレス通信サービス・プロバイダーにスパム・テキストをブロックすることを要求する規則について検討しています。 ただし、個人や企業は、自分自身を保護するための以下の手順を踏むことも可能です。

• モバイル・サイバーセキュリティー・ソリューション。AndroidとiOSのオペレーティング・システムには未承認のアプリケーションをブロックしたり、疑わしいテキスト・メッセージをフィルタリングしてスパム・フォルダーに移動させるなどの標準装備された保護機能があります。 組織レベルでは、企業は統合エンドポイント管理（UEM）ソリューションを使用して、モバイル・デバイスに、セキュリティー・コントロールとポリシーを適用できます。

• セキュリティー認識トレーニング。異様な電話番号、予期しないURL、緊急性を強調してくるなど、スミッシング攻撃を試みている警告すべき兆候を認識するように人々をトレーニングすることで、組織の保護に役立ちます。 トレーニングは、支払いの承認やリクエストの承認などの機密データの取り扱いについて、実際に行動に出る前のルールを定めることにもつながります。