Sau khi nhận được một thông điệp giả mạo từ Dịch vụ Bưu chính Hoa Kỳ (USPS), Smith ban đầu cho rằng đây chỉ là một trò lừa đảo bình thường. Tuy nhiên, tình hình trở nên nghiêm trọng hơn khi vợ của Smith vô tình điền thông tin thẻ tín dụng vào trang web giả mạo mà liên kết đó dẫn tới. Sự việc này đã khiến Smith cảm thấy có động lực để tìm hiểu về những kẻ đứng sau trò lừa đảo này.
Smith - nhà sáng lập công ty an ninh mạng Phantom Security, đã xác định được một băng nhóm người nói tiếng Trung Quốc đang thực hiện các hoạt động gian lận này. Chiến dịch lừa đảo quy mô lớn thông qua tin nhắn giả mạo từ USPS nhằm thu thập thông tin cá nhân, bao gồm cả chi tiết thẻ tín dụng của nạn nhân. Những tin nhắn này dẫn dụ người nhận truy cập vào các trang web giả mạo và yêu cầu họ cung cấp thông tin cá nhân. Các thông tin này sẽ bị kẻ lừa đảo lợi dụng để thực hiện thanh toán trực tuyến bằng thẻ tín dụng. Ngay sau khi phát hiện ra sự việc, vợ ông đã khẩn cấp khóa thẻ tín dụng và nhận thấy rằng kẻ gian vẫn đang cố gắng sử dụng thẻ của cô để thanh toán cho dịch vụ Uber.
Smith đã tận dụng những điểm yếu trong hệ thống của họ, áp dụng các phương pháp tấn công nhằm thu thập chứng cứ về các hành vi gian lận.
Ông đã đạt được thành công trong việc bẻ khóa các mật khẩu quản trị viên của những trang web giả mạo, phát hiện ra rằng nhiều mật khẩu vẫn sử dụng các thông tin mặc định như "admin" và "123456". Nhờ vào điều này, ông đã có khả năng tự động hóa quá trình trích xuất thông tin của nạn nhân từ mạng lưới các trang web smishing. Cuối cùng, Smith đã thu thập được một khối lượng dữ liệu khổng lồ, bao gồm 438.669 số thẻ tín dụng và hơn 1,2 triệu thông tin từ 1.133 tên miền khác nhau.
Cuộc điều tra của Smith đã phát hiện ra rằng những kẻ lừa đảo đang sử dụng một bộ công cụ smishing được cung cấp trên Telegram, liên kết với một tổ chức mang tên "Smishing Triad". Nhóm này đã nổi tiếng trong giới nghiên cứu bảo mật. Smishing Triad là một tổ chức tội phạm mạng tinh vi, chuyên thực hiện các chiến dịch smishing nhắm tới các dịch vụ bưu chính, với nạn nhân trải dài trên toàn thế giới.
Triad Smishing đã phát tán các tin nhắn SMS và iMessage giả mạo các dịch vụ bưu chính và giao hàng nổi tiếng như USPS và Royal Mail. Những tin nhắn này thông báo cho người nhận về việc có gói hàng không thể giao và yêu cầu họ cung cấp thông tin cá nhân, thông tin đăng nhập cũng như thông tin thanh toán.
Smishing Triad gửi từ 50.000 đến 100.000 tin nhắn hàng ngày. Chúng khai thác sự tin tưởng của người dùng vào SMS, đặc biệt là iMessage, tạo ra những trò lừa đảo trở nên thuyết phục hơn. Bằng việc sử dụng các tài khoản iCloud của Apple bị chiếm đoạt, chúng đã vượt qua những biện pháp bảo mật thông thường để tiếp cận mục tiêu.
Khi tập trung vào những khu vực cụ thể như UAE và Pakistan, chúng điều chỉnh chiến lược tấn công dựa trên bối cảnh địa phương nhằm nâng cao tính hiệu quả. Phạm vi hoạt động của chúng rất đa dạng, với mục tiêu là các dịch vụ bưu chính và các khách hàng ở nhiều quốc gia khác nhau, bao gồm Mỹ, Anh, EU, UAE và Pakistan.
Một ngân hàng không được tiết lộ tên đã quan tâm đến những bài viết trên blog của Smith và đã liên hệ với ông. Smith đã trình bày những phát hiện của mình với ngân hàng, báo cáo các trường hợp lừa đảo cho FBI và sau đó đã cung cấp thông tin cho Dịch vụ thanh tra bưu chính Hoa Kỳ (USPIS).
Hành động của Smith rơi vào vùng tối của pháp luật theo Đạo luật Lừa đảo và Lạm dụng Máy tính (CFAA), vì việc ông xâm nhập vào hệ thống của những kẻ lừa đảo để thu thập chứng cứ có khả năng bị xem là vi phạm CFAA. Dù ông có thể không phải đối mặt với cáo buộc, nhưng các cơ quan chức năng lo ngại rằng những chứng cứ mà ông đã thu thập có thể không được công nhận, do chúng được lấy từ các phương thức kỹ thuật không hợp pháp.
