Come funziona lo spoofing degli SMS?

Naviga le tue risposte
10

Ho cercato sul Web informazioni su come posso falsificare un SMS personalmente, ma mi sembra di trovare più informazioni su come rilevarlo o su come utilizzare gli strumenti per farlo piuttosto su come farlo da solo.

Ho provato siti Web e app che hanno funzionato perfettamente per falsificare gli SMS ma i siti web sembrano essere in grado di rilevarli, quindi ho voluto immergermi in questo e magari migliorarlo un po '. In che modo questo spoofing funziona a livello di software, come viene costruito un messaggio di testo falsificato e in che modo le aziende sono in grado di rilevarlo?

    
posta kieran Claessens 21.04.2016 - 21:56
fonte

3 risposte

5

Dipende da dove si trova il telefono ricevente.

Negli Stati Uniti, non è probabile che vedrete mai un lavoro di SMS contraffatto, è bloccato abbastanza stretto. In altri paesi, tuttavia, c'è meno convalida a livello di gestore.

Lo spoofing di qualsiasi messaggio viene solitamente effettuato in 3 modi.

  1. Fingendo che tu sia un proxy che trasmette il messaggio per qualcun altro. Questo è comunemente il modo in cui lo spoofing delle e-mail è fatto, in quanto normalmente non vi è alcuna convalida e l'e-mail passa attraverso più reti controllate separatamente.
  2. Clonare credenziali legittime degli utenti e fingere di essere tali, in modo che il fornitore di servizi ritenga che si tratti di un messaggio legittimo da parte del loro utente.
  3. È possibile eseguire una stazione di base falsa - I telefoni si collegheranno alla stazione base in quanto ha il segnale più strong (se è più vicino di una torre legit), quindi è possibile spoofing qualsiasi indirizzo mittente che ti piace. Ci sono stati molti casi in cui ciò è accaduto. Ad esempio, nella Repubblica popolare cinese, dove hanno recentemente bloccato 1600 persone per l'esecuzione di stazioni di base false coinvolte nello spamming tramite SMS. Ciò riguarda solo l'utente finale a cui è vicina la stazione base, non è possibile utilizzarlo per inviare un SMS a qualcuno in tutto il paese.
risposta data 23.04.2016 - 09:14
fonte
3

Hai semplicemente bisogno di un modo per inviare messaggi SMS che ti permetta di inviare un messaggio dove puoi specificare il mittente .

Come notato in un'altra risposta, i vettori cellulari statunitensi hanno regole severe che rendono lo spoofing molto più difficile. In genere, i messaggi inviati ai numeri degli Stati Uniti devono avere un mittente numerico (ovvero un numero di telefono o un codice funzione valido).

Negli altri paesi le cose sono meno rigide. È abbastanza comune per le aziende e altre organizzazioni impostare il mittente sul nome dell'attività o del prodotto a cui si riferisce il messaggio.

Per le attività commerciali legittime in questi altri paesi, la questione dello spam è gestita dall'aspettativa che l'azienda assicurerà che il destinatario possa dire chi ha inviato il messaggio. Questo è meno di un problema in cui i messaggi non sono pubblicitari (ad esempio codici di verifica dell'accesso).

Uso Clockwork SMS ( link ) per inviare messaggi SMS a livello di programmazione. Dispongono di librerie che possono essere utilizzate per inviare messaggi facilmente da linguaggi di programmazione comuni come C #, Java e PHP. Ci sono molti altri fornitori che offrono lo stesso tipo di servizio. Posso specificare qualsiasi mittente che voglio per questi messaggi. I non impersona nessuno nel farlo, ma significa che posso impostare il mittente come qualcosa di più significativo per le mie applicazioni.

Significa anche che potresti utilizzare questo tipo di servizio per inviare messaggi che sembrano provenire da "PayPal" o "Google", chiedendo a qualcuno di fare clic su un link che li porterà a un sito di phishing.

    
risposta data 26.04.2016 - 11:21
fonte
2

You simply need a way to send SMS messages that allows you to send a message where you can specify the sender.

Questo è sicuramente il modo più semplice per farlo, ma avere quel livello di accesso è difficile. La mia azienda fornisce app e API per consentire alle persone di inviare / ricevere SMS. Facciamo un sacco di lavoro per garantire che il "mittente" che hai impostato sia un numero di telefono che ti appartiene.

Ci colleghiamo direttamente agli aggregatori di SMS e generalmente non convalida il numero di telefono del mittente fornito dalla nostra piattaforma. Ad esempio, posso facilmente inviarmi un messaggio da un numero falso come 15551234567, un numero verde, il cellulare o la rete fissa di qualcuno, ecc.

Detto questo, i gestori e gli aggregatori monitorano costantemente lo spam e altri strani schemi di utilizzo. Bloccheranno i numeri di telefono e / o i creatori di cattivo traffico. Un messaggio o uno spoof occasionale potrebbe volare sotto il radar, ma è nell'interesse di qualsiasi entità che ti conceda l'accesso al mondo SMS per impedirti di inviare questi tipi di messaggi.

tl; dr: lo spoofing è possibile, ma avrai difficoltà a trovare qualcuno disposto a darti quell'accesso, dal momento che concedere tale accesso potrebbe mettere a repentaglio la loro intera attività.

    
risposta data 27.04.2016 - 20:34
fonte

Leggi altre domande sui tag

Come funziona la vulnerabilità di escalation dei privilegi DYLD su OS X? Utilizzo di RSA-SHA come / invece di HMAC in OpenVPN?