חוקרי סייבר מתריעים כי מתקפת סמישינג רחבת היקף, שמקורה בקבוצות פשיעה דוברות סינית, היא ככל הנראה המקור לדליפת פרטי תשלום של עד 115 מיליון כרטיסי אשראי בארה"ב בתוך קצת יותר משנה. מדובר באחת המתקפות הגדולות מסוגה, שמשלבת הנדסה חברתית, עקיפת אימות דו-שלבי בזמן אמת, ותשתית דיוג (phishing) בקנה מידה עצום.

הביטוי סמישינג (Smishing) מתאר שילוב של פישינג ו-SMS, שבמסגרתו התוקף מתחזה לגורם מהימן באמצעות הודעות טקסט. על פי דוח של חברת SecAlliance, בלב המתקפה עומד כלי המאפשר איסוף פרטי גישה רגישים ממכשירים ניידים תוך שימוש בטכניקות כמו חסימת גישה לפי מיקום (geofencing), סינון לפי כתובות IP והתאמה מלאה למכשירים ניידים, מה שמאפשר עקיפת מערכות זיהוי וניטור.

ההונאות מתחילות בהודעות SMS עם מסרים יומיומיים לכאורה כמו התראה על אגרת כביש, עדכון על חבילת דואר או הודעה מחשבון בנק, המובילים לאתרי התחזות אופטימיים למובייל. שם מתבקשים הקורבנות להזין פרטים אישיים ונתוני כרטיס אשראי. בהמשך, האקרים מזינים את המידע לארנקים דיגיטליים שבשליטתם, מה שמאפשר שימוש בכרטיסים ללא צורך בהחזקתם הפיזית, בעמדות תשלום, בחנויות אונליין ואפילו בכספומטים.

היקף הפעילות כולל גם אתרי מסחר מזויפים, פלטפורמות השקעות פיקטיביות, מכירת מכשירים טעונים מראש ופתיחת חשבונות סוחר מזויפים, לצד פרסום ממומן בפלטפורמות כמו גוגל ומטא.