Ci sono rischi per la sicurezza nel rispondere a un messaggio SMS?

66

Ricevo regolarmente messaggi SMS apparentemente innocui da persone sconosciute. Di solito sono semplici, come "Ciao" o "Ciao" o "Sei lì?". Questo accade più volte alla settimana, e certamente abbastanza spesso da sembrare una specie di sforzo organizzato e continuo per convincermi a rispondere. Sto cercando di capire perché qualcuno (o più qualcuno) si preoccupa di inviare questi messaggi.

Questa è una tecnica nota di hacking / phishing? In tal caso, ci sono informazioni utili che qualcuno può ottenere semplicemente inviando un messaggio SMS e che cosa può essere determinato se il destinatario risponde (supponendo che non includa alcuna informazione personale o di sicurezza nella risposta)?

    
posta Caleb 03.03.2017 - 06:17
fonte

4 risposte

77

Alcuni numeri di telefono o SMS consentono di addebitare un costo aggiuntivo che viene automaticamente recuperato dal fornitore di servizi telefonico e ripristinato al proprietario del numero. Questo è principalmente usato (legalmente) per alcuni giochi TV in cui ogni partecipante paga un po 'di denaro quando chiama un numero speciale o invia un SMS. Alla fine, uno dei due giocatori guadagna qualcosa, o le risposte dei partecipanti sono state utilizzate per le elezioni (ad esempio, un'elezione miss).

Quindi un'azienda non tanto buona potrebbe creare un sistema come questo e inviare tonnellate di SMS che richiedono una risposta a un numero così sovraccarico - e facoltativamente omettere di dire che è sovraccarico ... Il costo di invio di massa di SMS è basso, quindi se ottengono un tasso di rendimento accettabile, guadagneranno dei soldi con esso.

Quando ne sei a conoscenza e invii volentieri un SMS sovraccarico per partecipare all'elezione della canzone dell'anno, va tutto bene. Ma quando ricevi un SMS fingendo di provenire da un amico e finisci per pagare più del semplice SMS, è un furto.

Ma dato che questo tipo di società si nasconde all'estero o svanisce non appena richiedi di riavere indietro i tuoi soldi, è molto meglio non inviare mai messaggi SMS sovraccarichi.

    
risposta data 03.03.2017 - 09:43
fonte
33

Una cosa utile che un utente malintenzionato potrebbe raccogliere è quale sia il tuo tempo di risposta in momenti diversi durante il giorno e anche cose come il tuo programma di sonno. Se lasci il telefono a casa quando vai a fare jogging o in un corso di meditazione, potrebbero essere in grado di determinare i momenti in cui altre entità potrebbero non essere in grado di contattarti rapidamente. Questo può dare la conoscenza dell'attaccante di quando attaccare al meglio te o il tuo datore di lavoro. Quindi sì, anche il tempo di risposta ha un valore.

La prossima cosa che potrebbe essere utile sono le parole che usi e le tue frasi molto personali Cose come "Grazie ancora" "Cheers" "Peace" o "Have a great day" possono aiutare un utente malintenzionato a contraffare le e-mail per un phishing campagna che assomiglia esattamente al testo che verrebbe effettivamente utilizzato nella conversazione.

Dopodiché, c'è l'identificazione del SO di destinazione. In poche parole, se la persona che ti invia sta utilizzando un dispositivo che supporta il protocollo iMessage di Apple, nella maggior parte dei casi sarà in grado di vedere se il tuo telefono supporta iMessage o non offre una probabilità molto alta di dire all'attaccante il sistema operativo di base del tuo telefono come iOS (supportato da iMessage) o Android / Altro (iMessage non supportato). Questo non è assolutamente assoluto, ma se raccolgono queste informazioni da un gran numero di obiettivi saranno per lo più dati precisi.

Un esempio un po 'più pericoloso e, si spera, irrealistico a fini di conversazione, se una banca dovesse autenticare un bonifico tramite una semplice risposta Y o N da un numero di telefono in un file per la loro applicazione SMS scritta male un SMS potrebbe essere creato da un numero VoIP falsificato che corrisponde al numero di telefono di origine reale della banca.

Se un utente malintenzionato è in grado di calcolare correttamente le cose (ancora una volta è un esempio irrealistico), può iniziare alcuni testi falsi per determinare la velocità media di risposta del testo alle 15:00 o giù di lì, quindi inviare una domanda tempestiva alla ricerca di un Risposta 'Y' o 'N' che a sua volta viene inviata al numero di banco falso.

In poche parole, ti viene chiesto qualcosa di ridicolo come: "Ti piacerebbe vedere un'immagine di me in un abito da panda sexy?" Y "o" N "?

e quella risposta diventa la risposta a "È stata richiesta una richiesta di bonifico di $ 10.000,00 alla banca nazionale di hackerland approvate questa richiesta? Rispondere con 'Y' o 'N'?" dalla natura di voi che rispondete al testo falsificato al numero di origine dell'app bancario.

Anche in questo caso si tratta di un esempio fittizio, ma la combinazione di sistemi SMS insicuri in alcuni paesi combinata con alcuni sistemi orribilmente scritti che consentono agli utenti di immettere SMS in modo simile a questo potrebbe essere possibile.

Architettonicamente SMS è stato creato prima che la sicurezza fosse una preoccupazione, non ha praticamente nessun controllo di sicurezza e, sebbene utile, non dovrebbe essere usato per applicazioni ad alta affidabilità come l'autorizzazione dei trasferimenti di file.

Anche se sembra divertente, stai tecnicamente dando dati di questa persona / entità. Se sono maliziosi e tu o il tuo datore di lavoro siete obiettivi utili, potrebbe essere saggio non rispondere o, nel caso di iMessage, aprire / riconoscere i messaggi.

Un sacco di organizzazioni stanno facendo cose cattive su vasta scala in questo momento. Questo potrebbe facilmente essere parte di uno sforzo di ricognizione su larga scala.

Riferimento possibilmente utile: link

    
risposta data 03.03.2017 - 07:48
fonte
6

Ha avuto un problema simile, ma ha cercato su Google il contenuto degli SMS e ho visto che si trattava di una bufala. Ho chiamato il mio provider e mi hanno detto che se rispondevi al messaggio tramite SMS, ti viene addebitato un normale prezzo SMS. I mittenti malintenzionati mirano a richiamarli per trovare chi sono e quindi si è sovraccaricati.

Come altre risposte descritte però, potresti essere accusato anche quando rispondi via SMS, quindi suppongo che la migliore pratica sarebbe quella di non rispondere a nessun messaggio da numeri sconosciuti, specialmente quando sono brevi come quelli che sembra ricevere e non spiegando chi sono

    
risposta data 03.03.2017 - 16:21
fonte
5

Qualcosa che non è stato trattato nelle altre risposte è che messaggi come questi sono comunemente usati per verificare se un numero di telefono è ancora attivo. Vedete la bellezza di GSM è che non è necessario essere connessi alla rete contemporaneamente al destinatario perché i messaggi vengono inviati a un SMSC che utilizza un meccanismo chiamato" memorizza e inoltra ". Pertanto l'uso dei messaggi SMS è un mezzo attraente per comunicare con un individuo in quanto non solo garantisce la consegna dei messaggi ma praticamente tutti lo usano.

Anche se la persona che invia il messaggio potrebbe non avere intenzioni malevole, è probabile che venda tutti i dati che può raccogliere sul suo particolare numero e / o come individuo. Esistono organizzazioni criminali specializzate in questo tipo di attività e possono trarre profitto dallo svolgimento di tali attività. Lo scopo di inviare una grande quantità di messaggi SMS è cercare di incoraggiarti a rispondere, probabilmente ti stai annoiando a ricevere un numero così elevato di messaggi al punto in cui stai considerando di rispondere ai messaggi, ti consiglierei ora di ignora semplicemente i messaggi.

Quindi perché dovresti preoccuparti se i dati vengono venduti a x, y o z? Beh, per il semplice fatto che non sai chi sta vendendo i tuoi dati e su chi li stanno vendendo. Non rispondendo ai messaggi i tuoi dati sembrano meno preziosi, quindi le organizzazioni / i privati hanno meno probabilità di acquistare i tuoi dati. Questo non vuol dire che non lo faranno ma ai miei occhi, qualcuno che risponde a un messaggio SMS è più allettante come bersaglio per il phishing di qualcuno che non lo fa.

Pertanto, anche se la risposta al / i messaggio / i iniziale / i può sembrare che abbia poche conseguenze, in futuro potrebbe generare più messaggi poiché il tuo numero di telefono sarà considerato attivo. Dopodiché inizierai a ricevere più SMS che impiegheranno tecniche di phishing.

Oltre a ciò, rispondere a un messaggio SMS può anche aiutare nello sniffing GSM, ma questo dipende da molti fattori come l'algoritmo di crittografia in cui il telefono sta usando.

Sarebbe nel tuo migliore interesse ignorare i messaggi poiché alla fine l'organizzazione / i probabilmente determinerà il tuo numero come inattivo o vedrà lo spamming come un costo piuttosto che un vantaggio.

    
risposta data 05.03.2017 - 04:00
fonte

Leggi altre domande sui tag