Una cosa útil que un atacante podría reunir es cuál es su tiempo de respuesta en diferentes momentos del día y también cosas como su horario de sueño. Si deja su teléfono en casa cuando va a trotar o a una clase de meditación, es posible que puedan determinar los momentos en que otras entidades no podrán comunicarse con usted rápidamente. Esto puede dar al atacante el conocimiento de cuándo atacar mejor a usted o a su empleador. Así que sí, incluso el tiempo de respuesta tiene valor.
Lo siguiente que puede ser útil son las palabras que usa y sus frases muy personales Cosas como "Gracias de nuevo", "Saludos", "Tener un buen día" pueden ayudar a un atacante a falsificar correos electrónicos para un phishing campaña que se ve exactamente como el texto que realmente usarías en la conversación.
Después de eso, hay una identificación del sistema operativo de destino. En pocas palabras, si la persona que te envía estos está utilizando un dispositivo que admite el protocolo iMessage de Apple, en la mayoría de los casos, será puede ver si su teléfono es compatible con iMessage o no ofrece una alta probabilidad de decirle al atacante el sistema operativo básico de su teléfono como iOS (compatible con iMessage) o Android / Otro (no se admite iMessage). Esto no es de ninguna manera absoluto, pero si están recopilando esta información de un gran número de objetivos, serán en su mayoría datos precisos.
Un ejemplo un poco más peligroso y, con suerte, poco realista para fines de conversación, si un Banco autenticara una transferencia bancaria a través de una simple respuesta de Y o N de un número de teléfono en el archivo de su aplicación de SMS mal escrita, un SMS podría elaborarse a partir de un número de VoIP falsificado que coincide con el número de teléfono de origen real del banco.
Si un atacante pudiera cronometrar las cosas correctamente (nuevamente, este es un ejemplo poco realista) podría iniciarle algunos mensajes de texto falsos para determinar su velocidad promedio de respuesta de texto a las 3 p. m., y luego enviarle una pregunta bien sincronizada en busca de un La respuesta 'Y' o 'N' que a su vez se envía de vuelta al número de banco falsificado.
En pocas palabras, te preguntan algo ridículo como: "¿Te gustaría ver una imagen de mí con un traje de panda sexy? ¿'Y' o 'N'?
y esa respuesta se convierte en la respuesta a "Se ha solicitado una solicitud de transferencia bancaria de $ 10,000.00 al banco nacional de hackerland. ¿Aprueba esta solicitud? ¿Responde con 'Y' o 'N'?" por la naturaleza de su respuesta al texto de origen del número fuente de la aplicación bancaria.
Nuevamente, este es un ejemplo ficticio, pero la combinación de sistemas de SMS inseguros en algunos países combinados con algunos sistemas horriblemente escritos que permiten que los SMS de entrada de un usuario puedan ser posibles de forma similar.
Arquitectónico SMS se creó antes de que la seguridad fuera una preocupación, casi no tiene controles de seguridad y, aunque es útil, no debe usarse para aplicaciones de alta confianza como la autorización de transferencias bancarias.
Aunque parezca divertido, técnicamente le está dando datos a esta persona / entidad. Si son maliciosos y usted o su empleador son objetivos útiles, puede ser conveniente no responder o, en el caso de iMessage, incluso abrir / reconocer los mensajes.
Muchas organizaciones están haciendo cosas malas a gran escala en este momento. Esto podría fácilmente ser parte de un esfuerzo de reconocimiento a gran escala.
Referencia posiblemente útil:
enlace