Sau khi nhận được một tin nhắn giả mạo từ Dịch vụ bưu chính Mỹ (USPS), Smith ban đầu cho rằng đây chỉ là một trò lừa đảo thông thường. Tuy nhiên, tình hình trở nên nghiêm trọng hơn khi vợ Smith vô tình nhập thông tin thẻ tín dụng vào trang web lừa đảo liên kết. Sự cố này đã khiến Smith sục sối ý muốn điều tra về những kẻ tạo ra trò lừa đảo này.
Smith - người sáng lập công ty an ninh mạng Phantom Security cuối cùng đã đã xác định được một nhóm người nói tiếng Trung Quốc đứng sau hoạt động này. Hoạt động lừa đảo quy mô lớn bằng tin nhắn giả mạo USPS, được thiết kế để thu thập thông tin cá nhân, bao gồm cả chi tiết thẻ tín dụng từ các nạn nhân. Các tin nhắn này hướng người nhận đến các trang web lừa đảo và yêu cầu họ nhập thông tin. Những thông tin này sẽ được những kẻ lừa đảo sử dụng để thanh toán online bằng thẻ tín dụng. Vợ của ông ngay sau khi phát hiện bị lừa đã khóa khẩn cấp thẻ tín dụng và phát hiện rằng bọn chúng vẫn đang cố sử dụng thẻ của cô để thanh toán Uber.
Smith đã khai thác các lỗ hổng trong hệ thống của chúng, sử dụng các kỹ thuật tấn công để thu thập bằng chứng về các hoạt động lừa đảo.
Ông đã thành công trong việc phá các mật khẩu quản trị viên của trang web giả mạo, nhận thấy rằng nhiều mật khẩu vẫn sử dụng các thông tin mặc định như "admin" và "123456". Điều này giúp ông tự động hóa việc trích xuất dữ liệu nạn nhân từ mạng lưới các trang web smishing. Cuối cùng, Smith đã thu thập được một lượng lớn dữ liệu, bao gồm 438.669 số thẻ tín dụng và hơn 1,2 triệu dữ liệu thông tin từ 1.133 tên miền khác nhau.
Cuộc điều tra của Smith tiết lộ rằng bọn lừa đảo sử dụng một bộ công cụ smishing được bán trên Telegram, liên kết với một nhóm được gọi là "Smishing Triad" Nhóm này không xa lạ với các nhà nghiên cứu bảo mật. Smishing Triad là một tổ chức tội phạm mạng tinh vi, chủ yếu thực hiện các chiến dịch smishing nhắm vào các dịch vụ bưu chính và nạn nhân của chúng trải khắp thế giới.
Smishing Triad đã gửi tin nhắn SMS và iMessage mạo danh các dịch vụ bưu chính và giao hàng uy tín như USPS và Royal Mail. Những tin nhắn này cảnh báo người nhận về các gói hàng không giao được và yêu cầu họ cung cấp thông tin cá nhân, thông tin đăng nhập và thông tin thanh toán.
Smishing Triad gửi 50,000 tới 100.000 tin nhắn mỗi ngày. Chúng lợi dụng niềm tin của người dùng vào SMS - đặc biệt là iMessage, làm cho các trò lừa đảo của chúng trở nên thuyết phục hơn. Bằng cách sử dụng các tài khoản Apple iCloud bị chiếm đoạt, chúng đã vượt qua các biện pháp bảo mật truyền thống để tiếp cận con mồi.
Khi nhắm vào khu vực cụ thể như UAE và Pakistan, chúng điều chỉnh các cuộc tấn công theo ngữ cảnh địa phương để tăng hiệu quả. Phạm vi hoạt động của chúng rất rộng, chúng nhắm vào các dịch vụ bưu chính và khách hàng ở nhiều quốc gia bao gồm Mỹ, Anh, EU, UAE và Pakistan.
Một ngân hàng không được nêu tên đã chú ý đến các bài viết trên blog của Smith và liên hệ với ông. Smith đã chia sẻ phát hiện của mình với ngân hàng, báo cáo các vụ lừa đảo với FBI và sau đó cung cấp thông tin cho Dịch vụ thanh tra bưu chính Mỹ (USPIS).
Hành động của Smith nằm trong vùng xám pháp lý theo Đạo luật lừa đảo và lạm dụng máy tính (CFAA) vì việc xâm nhập vào hệ thống của bọn lừa đảo để thu thập bằng chứng có thể bị coi là vi phạm CFAA. Mặc dù ông sẽ không bị truy tố, nhưng các cơ quan chức năng lo ngại rằng bằng chứng mà ông thu thập có thể không được chấp nhận vì nó được thu thập thông qua các phương tiện kỹ thuật bất hợp pháp.