Smith przeszukał Reddit i inne źródła internetowe, aby znaleźć osoby zgłaszające oszustwo i używane adresy URL, co on potwierdził później opublikowane. Smith twierdzi, że niektóre strony internetowe, na których działają narzędzia Smishing Triad, gromadziły dane osobowe tysięcy osób dziennie. Strony internetowe żądają między innymi nazwisk, adresów, numerów kart płatniczych i kodów zabezpieczających, numerów telefonów, dat urodzenia i stron banków. Ten poziom informacji może pozwolić oszustowi na dokonanie zakupów online za pomocą kart kredytowych. Smith twierdzi, że jego żona szybko anulowała kartę, ale zauważyła, że oszuści nadal próbowali z niej skorzystać, na przykład w Uberze. Badacz twierdzi, że zbierał dane ze strony internetowej i wracał do niej kilka godzin później, by znaleźć setki nowych rekordów.
Badacz przekazał dane bankowi, który skontaktował się z nim po zapoznaniu się z jego pierwszymi wpisami na blogu. Smith odmówił podania nazwy banku. Zgłosił także incydenty FBI, a później przekazał informacje Służbie Kontroli Poczty Stanów Zjednoczonych (USPIS).
Michael Martel, specjalista ds. informacji publicznej w USPIS, twierdzi, że informacje dostarczone przez Smitha są wykorzystywane w ramach toczącego się dochodzenia USPIS i że agencja nie może komentować konkretnych szczegółów. „USPIS już aktywnie poszukuje tego typu informacji, aby chronić naród amerykański, identyfikować ofiary i wymierzać sprawiedliwość złośliwym podmiotom stojącym za tym wszystkim” – mówi Martel, wskazując porady dotyczące wykrywanie i zgłaszanie oszustw związanych z dostawą przesyłek USPS.
Smith twierdzi, że początkowo obawiał się upubliczniania swoich badań, ponieważ tego rodzaju „włamanie” wpada w „szarą strefę”: może stanowić naruszenie amerykańskiej ustawy o oszustwach i nadużyciach komputerowych, szeroko zakrojonej amerykańskiej ustawy dotyczącej przestępstw komputerowych, ale robi to przeciwko zagranicznym przestępcom. Coś, czego z pewnością nie zrobił pierwszy ani ostatni.
Wiele zębów
Smishing Triada jest płodna. Według Shawn Loveland, szef funkcjonariusz operacyjny Resecurity, który konsekwentnie śledził grupę.
Według danych Smishing Triada wysyła codziennie od 50 000 do 100 000 wiadomości Badania Resecurity. Jej oszukańcze wiadomości są wysyłane za pomocą wiadomości SMS lub usługi iMessage firmy Apple, która jest szyfrowana. Loveland twierdzi, że Triada składa się z dwóch odrębnych grup – małego zespołu kierowanego przez jednego chińskiego hakera, który tworzy, sprzedaje i utrzymuje zestaw sishingowy, oraz drugiej grupy ludzi, którzy kupują to narzędzie do oszustw. (Backdoor w zestawie umożliwia twórcy dostęp do szczegółowych informacji o administratorach korzystających z zestawu, Smith mówi w: post na blogu.)
„To bardzo dojrzałe” – Loveland mówi o operacji. Grupa sprzedaje zestaw do oszustw w Telegramie za 200 dolarów miesięcznej subskrypcji, który można dostosować, aby pokazać organizację, pod którą oszuści próbują się podszyć. „Głównym aktorem jest Chińczyk komunikujący się w języku chińskim” – mówi Loveland. „Wygląda na to, że nie włamują się do witryn ani użytkowników w języku chińskim”. (W komunikacji z głównym kontaktem w Telegramie osoba ta twierdziła Smithowi, że jest studentką informatyki).
Stosunkowo niski miesięczny koszt subskrypcji zestawu sishingowego oznacza, że biorąc pod uwagę liczbę danych kart kredytowych gromadzonych przez oszustów, jest wysoce prawdopodobne, że osoby korzystające z niego osiągną znaczne zyski. Loveland twierdzi, że wysyłanie wiadomości tekstowych natychmiastowo wysyłających powiadomienia jest bardziej bezpośrednią i skuteczniejszą metodą phishingu w porównaniu do wysyłania wiadomości e-mail zawierających złośliwe linki.
W rezultacie w ostatnich latach wzrosła liczba smishingu. Są jednak pewne znaki ostrzegawcze: jeśli otrzymasz wiadomość z nieznanego numeru lub adresu e-mail, jeśli zawiera ona link, w który należy kliknąć, lub jeśli prosi Cię o pilne wykonanie jakiejś czynności, powinieneś wzbudzić swoje podejrzenia.
