¿Cómo funciona la falsificación de SMS en la práctica?

Navega tus respuestas
10

He estado investigando en la web para obtener información sobre cómo puedo falsificar un SMS, pero parece que encuentro más información sobre cómo detectarlo o cómo usar las herramientas para hacerlo más bien sobre cómo hacerlo yo mismo.

He probado sitios web y aplicaciones, que funcionaron perfectamente para falsificar SMS, pero los sitios web parecen ser capaces de detectar esto, así que quise profundizar en esto y tal vez mejorarlo un poco. ¿Cómo funciona esta falsificación en un nivel de software, cómo se construye un mensaje de texto falsificado y cómo pueden las empresas detectar esto?

    
pregunta kieran Claessens 21.04.2016 - 21:56
fuente

3 respuestas

5

Depende de la ubicación del teléfono receptor.

En los EE. UU., es probable que nunca veas un trabajo de SMS falsificado, ya que está bastante cerrado. Sin embargo, en otros países, hay menos validación a nivel de operador.

La suplantación de cualquier mensaje generalmente se realiza de una de tres maneras.

  1. Pretendiendo que eres un proxy que transmite el mensaje a otra persona. Esta es comúnmente la forma en que se realiza la falsificación del correo electrónico, ya que generalmente no hay validación y el correo electrónico pasa a través de múltiples redes controladas por separado.
  2. Clonar las credenciales de un usuario legítimo y simular que son ellas, de modo que el proveedor del servicio crea que es un mensaje legítimo de su usuario.
  3. Puede ejecutar una estación base falsa: los teléfonos se conectarán a su estación base ya que tiene la señal más fuerte (si está más cerca que una torre legítima), entonces puede falsificar la dirección del remitente que desee. Ha habido muchos casos de que esto suceda. Por ejemplo, en la República Popular de China, donde recientemente encerraron a 1600 personas por ejecutar estaciones base falsas involucradas en el spam de SMS. Esto solo afecta al usuario final al que está cerca la estación base, no puede usarlo para enviar un SMS a alguien en todo el país.
respondido por el Daisetsu 23.04.2016 - 09:14
fuente
3

Simplemente necesita una forma de enviar mensajes SMS que le permita enviar un mensaje donde pueda especificar el remitente .

Como se señaló en otra respuesta, los operadores de telefonía celular de EE. UU. tienen reglas estrictas que dificultan la falsificación. Normalmente, los mensajes enviados a números de los EE. UU. Deben tener un remitente numérico (es decir, un número de teléfono válido o un código corto).

En otros países las cosas son menos estrictas. Es bastante común que las empresas y otras organizaciones configuren al remitente con el nombre de la empresa o producto con el que se relaciona el mensaje.

Para las empresas legítimas en esos otros países, el problema del spam se resuelve con la expectativa de que la empresa se asegurará de que el destinatario pueda saber quién envió el mensaje. Este es un problema menor cuando los mensajes no se anuncian (por ejemplo, códigos de verificación de inicio de sesión).

Uso Clockwork SMS ( enlace ) para enviar mensajes SMS mediante programación. Tienen bibliotecas disponibles que se pueden usar para enviar mensajes fácilmente desde lenguajes de programación comunes como C #, Java y PHP. Hay muchos otros proveedores que ofrecen el mismo tipo de servicio. Puedo especificar cualquier remitente que quiera para estos mensajes. Yo no me hago pasar por nadie, pero significa que puedo configurar el remitente para que sea más significativo para mis aplicaciones.

También significa que puedes usar este tipo de servicio para enviar mensajes que parecen provenir de "PayPal" o "Google", y pedir a alguien que haga clic en un enlace que los llevará a un sitio de phishing.

    
respondido por el Daveoc64 26.04.2016 - 11:21
fuente
2
  

Simplemente necesitas una forma de enviar mensajes SMS que te permita enviar un mensaje donde puedas especificar el remitente.

Es ciertamente la forma más fácil de hacerlo, pero tener ese nivel de acceso es difícil. Mi empresa proporciona aplicaciones y API para permitir que las personas envíen / reciban SMS. Hacemos mucho trabajo para asegurarnos de que el "remitente" que configuras sea un número de teléfono que te pertenezca.

Nos conectamos directamente a los agregadores de SMS, y generalmente no hacen mucha validación en el número de teléfono del remitente que proporciona nuestra plataforma. Por ejemplo, puedo enviarme fácilmente un mensaje desde un número falso como 15551234567, un número gratuito, el teléfono móvil o fijo de alguien, etc.

Dicho esto, los operadores y agregadores monitorean constantemente el spam y otros patrones de uso extraños. Bloquearán números de teléfono y / o originadores de tráfico malo. Uno o dos mensajes falsificados ocasionales pueden volar bajo el radar, pero es de interés para cualquier entidad que le otorgue acceso al mundo SMS para evitar que envíe este tipo de mensajes.

tl; dr: La falsificación es posible, pero le será difícil encontrar a alguien dispuesto a darle ese acceso, ya que otorgar ese acceso podría poner en peligro todo su negocio.

    
respondido por el Noah Cushing 27.04.2016 - 20:34
fuente

Lea otras preguntas en las etiquetas

¿Usando RSA-SHA como / en lugar de HMAC en OpenVPN? ¿Cómo funciona la vulnerabilidad de escalada de privilegios de DYLD en OS X?