¿Existe algún riesgo de seguridad al responder un mensaje SMS?

66

Normalmente recibo mensajes SMS aparentemente inofensivos de personas desconocidas. Por lo general, son simples, como "Hola" o "Hola" o "¿Estás ahí?". Esto sucede varias veces a la semana, y ciertamente con la frecuencia suficiente para que parezca un esfuerzo continuo y organizado para que yo responda. Estoy tratando de entender por qué alguien (o varias personas) se molestaría en enviar tales mensajes.

¿Es esta una técnica conocida de hacking / phishing? Si es así, ¿hay información útil que alguien pueda obtener simplemente enviando un mensaje SMS y qué se puede determinar si el destinatario responde (asumiendo que no incluye información personal o de seguridad en la respuesta)?

    
pregunta Caleb 03.03.2017 - 06:17
fuente

4 respuestas

77

Algunos números de teléfono o SMS permiten un cargo adicional que su proveedor de telefonía recupera automáticamente y se revierte al propietario del número. Esto se usa principalmente (legalmente) para algunos juegos de TV donde cada participante paga un poco de dinero cuando llama a un número especial o envía un SMS. Al final, uno de los jugadores gana algo, o las respuestas de los participantes se usaron para una elección (por ejemplo, una elección perdida).

Entonces, una empresa no tan buena podría configurar un sistema como ese y enviar toneladas de SMS solicitando una respuesta a dicho número sobrecargado, y opcionalmente omitir decir que está sobrecargado ... El costo del envío masivo de SMS es bajo, por lo que si obtienen una tasa de retorno aceptable, ganarán algo de dinero con él.

Cuando esté al tanto de eso, y de buena gana envíe un SMS sobrecargado para participar en la elección de la canción del año, todo está bien. Pero cuando recibes un SMS, solo pretendes venir de un amigo y terminar pagando más que el simple SMS, es un robo.

Pero como este tipo de compañía se esconde en el extranjero o desaparece tan pronto como usted reclama que le devuelvan su dinero, es mucho mejor que nunca les envíe ningún SMS sobrecargado.

    
respondido por el Serge Ballesta 03.03.2017 - 09:43
fuente
33

Una cosa útil que un atacante podría reunir es cuál es su tiempo de respuesta en diferentes momentos del día y también cosas como su horario de sueño. Si deja su teléfono en casa cuando va a trotar o a una clase de meditación, es posible que puedan determinar los momentos en que otras entidades no podrán comunicarse con usted rápidamente. Esto puede dar al atacante el conocimiento de cuándo atacar mejor a usted o a su empleador. Así que sí, incluso el tiempo de respuesta tiene valor.

Lo siguiente que puede ser útil son las palabras que usa y sus frases muy personales Cosas como "Gracias de nuevo", "Saludos", "Tener un buen día" pueden ayudar a un atacante a falsificar correos electrónicos para un phishing campaña que se ve exactamente como el texto que realmente usarías en la conversación.

Después de eso, hay una identificación del sistema operativo de destino. En pocas palabras, si la persona que te envía estos está utilizando un dispositivo que admite el protocolo iMessage de Apple, en la mayoría de los casos, será puede ver si su teléfono es compatible con iMessage o no ofrece una alta probabilidad de decirle al atacante el sistema operativo básico de su teléfono como iOS (compatible con iMessage) o Android / Otro (no se admite iMessage). Esto no es de ninguna manera absoluto, pero si están recopilando esta información de un gran número de objetivos, serán en su mayoría datos precisos.

Un ejemplo un poco más peligroso y, con suerte, poco realista para fines de conversación, si un Banco autenticara una transferencia bancaria a través de una simple respuesta de Y o N de un número de teléfono en el archivo de su aplicación de SMS mal escrita, un SMS podría elaborarse a partir de un número de VoIP falsificado que coincide con el número de teléfono de origen real del banco.

Si un atacante pudiera cronometrar las cosas correctamente (nuevamente, este es un ejemplo poco realista) podría iniciarle algunos mensajes de texto falsos para determinar su velocidad promedio de respuesta de texto a las 3 p. m., y luego enviarle una pregunta bien sincronizada en busca de un La respuesta 'Y' o 'N' que a su vez se envía de vuelta al número de banco falsificado.

En pocas palabras, te preguntan algo ridículo como: "¿Te gustaría ver una imagen de mí con un traje de panda sexy? ¿'Y' o 'N'?

y esa respuesta se convierte en la respuesta a "Se ha solicitado una solicitud de transferencia bancaria de $ 10,000.00 al banco nacional de hackerland. ¿Aprueba esta solicitud? ¿Responde con 'Y' o 'N'?" por la naturaleza de su respuesta al texto de origen del número fuente de la aplicación bancaria.

Nuevamente, este es un ejemplo ficticio, pero la combinación de sistemas de SMS inseguros en algunos países combinados con algunos sistemas horriblemente escritos que permiten que los SMS de entrada de un usuario puedan ser posibles de forma similar.

Arquitectónico SMS se creó antes de que la seguridad fuera una preocupación, casi no tiene controles de seguridad y, aunque es útil, no debe usarse para aplicaciones de alta confianza como la autorización de transferencias bancarias.

Aunque parezca divertido, técnicamente le está dando datos a esta persona / entidad. Si son maliciosos y usted o su empleador son objetivos útiles, puede ser conveniente no responder o, en el caso de iMessage, incluso abrir / reconocer los mensajes.

Muchas organizaciones están haciendo cosas malas a gran escala en este momento. Esto podría fácilmente ser parte de un esfuerzo de reconocimiento a gran escala.

Referencia posiblemente útil: enlace

    
respondido por el Trey Blalock 03.03.2017 - 07:48
fuente
6

Tenía un problema similar, pero buscó en Google el contenido del SMS y vio que era un engaño. Llamé a mi proveedor y me dijeron que si responde al mensaje por SMS, se le cobrará un precio normal de SMS. Los remitentes malintencionados intentan que vuelvas a llamar para saber quiénes son y luego te sobrecargas.

Sin embargo, como se describe en otras respuestas, se le puede cobrar incluso cuando responde por SMS, así que supongo que la mejor práctica sería no responder a ningún mensaje de números desconocidos, especialmente cuando son cortos como los que parece recibir y no explicando quienes son

    
respondido por el papakias 03.03.2017 - 16:21
fuente
5

Algo que no se ha cubierto en las otras respuestas es que mensajes como estos se usan comúnmente para verificar si un número de teléfono todavía está activo. La belleza de GSM es que no tiene que estar conectado a la red al mismo tiempo que el destinatario porque los mensajes se envían a un SMSC que utiliza un mecanismo llamado" almacenar y reenviar ". Por lo tanto, el uso de mensajes SMS es un medio atractivo para comunicarse con una persona, ya que no solo garantiza la entrega de mensajes, sino que casi todos los utilizan.

A pesar de que la persona que envía el mensaje no tenga intenciones maliciosas, es probable que venda cualquier información que pueda recopilar sobre su número particular y / o usted como persona. Hay organizaciones criminales que se especializan en este tipo de actividades y pueden beneficiarse de la realización de tales actividades. El propósito de enviar una gran cantidad de mensajes SMS es tratar de alentarlo a que responda, probablemente se esté molestando al recibir una cantidad tan grande de mensajes hasta el punto en el que está considerando responder a los mensajes, le aconsejo que lo haga ahora. simplemente ignora los mensajes.

Entonces, ¿por qué debería importarte si los datos se venden a x, y o z? Bien por el simple hecho de que no sabe quién está vendiendo sus datos y a quién se los están vendiendo. Al no responder a los mensajes hace que sus datos parezcan menos valiosos, por lo tanto, las organizaciones / individuos tienen menos probabilidades de comprarlos. Esto no quiere decir que no lo harán, pero en mi opinión, alguien que responde a un mensaje SMS es más atractivo como objetivo de phishing que alguien que no lo hace.

Por lo tanto, aunque la respuesta a los mensajes iniciales parezca tener pocas consecuencias, puede que se generen más mensajes en el futuro, ya que su número de teléfono se considerará activo. Después de esto, comenzará a recibir más mensajes SMS que emplearán técnicas de phishing.

Además de esto, responder a un mensaje SMS también puede ayudar a GSM Sniffing, pero depende de muchos factores, como el algoritmo de cifrado que usa el teléfono.

Le convendría ignorar los mensajes, ya que eventualmente las organizaciones probablemente determinarán su número como inactivo o verán el envío de correo basura a su número como un costo en lugar de un beneficio.

    
respondido por el Us3rname 05.03.2017 - 04:00
fuente

Lea otras preguntas en las etiquetas