Útočníci sa snažia trikom obísť ochranu proti phishingu v aplikácii Správy.
Na používateľov iPhonov cielia útoky typu smishing (SMS phishing), ktoré využívajú techniku sociálneho inžinierstva na obídenie ochrany proti linkom od neznámych kontaktov. Aplikácia Správy má v sebe zabudovanú ochranu proti linkom od neznámych čísel, ktorá znefunkční internetové (a iné) odkazy od neznámych odosielateľov, aby prijímateľ správy omylom na nejaký link neklikol.
Pokiaľ však používateľ na správu odpovie, alebo si pridá odosielateľa medzi kontakty, linky sa opäť aktivujú, čo zneužívajú podvodníci. Základom je docieliť, aby prijímateľ správy na správu odpovedal. Útočníci to robia nenápadným trikom, keď sa vydávajú za kuriérske spoločnosti, ktoré údajne nemôžu doručiť balík alebo pýtajú poštovné, prípadne tvrdia že prijímateľ dlží nejaký poplatok, napríklad za diaľničnú známku.
V anglickej verzii podvodného textu píšu, že treba odpovedať napísaním “Y” (od Yes – áno), ukončiť SMS aplikáciu, a potom znova otvoriť aktivačný link kliknutím naň, alebo jeho skopírovaním do prehliadača Safari. Objavila sa aj verzia s prehliadačom Chrome, prípadne verzia kde sa miesto napísania “Y” požaduje napísanie “1”. Nezáleží na tom, akým textom príjemca odpovie, link sa aktivuje v každom prípade.
Internetový odkaz smeruje na škodlivú stránku, ktorá sa môže pokúsiť napríklad ukradnúť prihlasovacie údaje formou webu, ktorý vizuálne vyzerá ako oficiálny web. Útočníci často používajú webovú adresu, ktorá sa veľmi podobá na adresu oficiálneho webu a má v sebe zmenené alebo vynechané jedno písmeno, prípadne využívajú subdomény na docielenie adresy, ktorá pri nepozornom pozretí vyzerá ako legitímna.
Problematická je aj samotná odpoveď na správu a to aj v prípade, že nedôjde ku kliknutiu na link. Útočníci si takto vedia overiť, či je číslo aktívne a využiť ho na spamové aktivity v budúcnosti, prípadne zaradiť do databázy čísel, ktorú môžu neskôr predať tretej strane. Takáto praktika sa samozrejme využíva aj v prípade e-mailových adries.
Aj keď čoraz viac ľudí používa blokovače tzv. neviditeľných pixelov, ktoré slúžia na zistenie času a dátumu otvorenia správy útočníkom, v e-mailoch je často link na odhlásenie sa zo správ (Unsubscribe), ktorý v skutočnosti slúži práve na overenie si aktivity adresy. V prípade, že používateľ dostane správu, ktorú očakáva, ale pripadá mu podozrivá, je dobre kontaktovať spoločnosť priamo cez iný kontakt a nie cez link alebo číslo, ktoré je uvedené v správe.
Ďalším, už klasickým tipom, je nepridávať si neznáme telefónne čísla do telefónneho zoznamu. A pokiaľ správa znie až príliš dobre, alebo príliš zle na to aby to bola pravda, tak väčšinou to pravda naozaj nie je. Takéto typy útokov samozrejme nie sú limitované na konkrétnu platformu. Zasiahnuť môžu aj iOS, aj Android, ale aj dnes už okrajové platformy ako KaiOS alebo dokonca klasické tlačidlové telefóny. Ako ochrana pred týmto typom útokov môže pomôcť aplikácia na blokovanie nahlásených čísel, či už medzinárodná, alebo lokálna, ktorá sa špecializuje na konkrétnu krajinu alebo oblasť.