web-dev-qa-db-fra.com

Y a-t-il des risques de sécurité à répondre à un message SMS?

Je reçois régulièrement des messages apparemment inoffensifs SMS de personnes inconnues. Ils sont généralement simples, comme "Salut" ou "Bonjour" ou "Êtes-vous là?". Cela se produit plusieurs fois par semaine, et certainement assez souvent pour que cela semble être une sorte d’effort continu et organisé pour me faire répondre. J'essaie de comprendre pourquoi quelqu'un (ou plusieurs personnes) prendrait la peine d'envoyer de tels messages.

Est-ce une technique connue de piratage/hameçonnage? Dans l'affirmative, existe-t-il des informations utiles que quelqu'un peut obtenir simplement en envoyant un message SMS, et ce qui peut être déterminé si le destinataire répond (en supposant qu'il n'inclut aucune information personnelle ou de sécurité dans le répondre)?

66
Caleb

Certains numéros de téléphone ou SMS permettent des frais supplémentaires qui sont automatiquement récupérés par votre opérateur téléphonique et reversés au propriétaire du numéro. Ceci est principalement utilisé (légalement) pour certains jeux télévisés où chaque participant paye un peu d'argent en appelant un numéro spécial ou en envoyant un SMS. Au final, soit l'un des joueurs gagne quelque chose, soit les réponses des participants ont été utilisées pour une élection (une élection manquée par exemple) .

Ainsi, une entreprise pas très bonne pourrait mettre en place un système comme celui-ci et envoyer des tonnes de SMS demandant une réponse à un tel numéro surchargé - et éventuellement omettre de dire qu'il est surchargé ... Le coût de l'envoi de masse SMS est faible, donc s'ils obtiennent un taux de retour acceptable, ils gagneront de l'argent avec.

Lorsque vous êtes au courant de cela et que vous envoyez volontiers un SMS) surchargé pour participer à l'élection de la chanson de l'année, tout va bien. Mais lorsque vous recevez un SMS simplement faire semblant de venir d'un ami et finir par payer plus que le simple SMS c'est du vol).

Mais comme ce type d'entreprise se cache à l'étranger ou disparaît dès que vous récupérez pour récupérer votre argent, il est préférable de ne jamais leur envoyer de SMS surchargés.

77
Serge Ballesta

Une chose utile qu'un attaquant pourrait recueillir est quel est votre temps de réponse à différents moments de la journée et aussi des choses comme votre horaire de sommeil. Si vous laissez votre téléphone à la maison lorsque vous faites du jogging ou à un cours de méditation, ils peuvent être en mesure de déterminer les heures auxquelles d'autres entités peuvent ne pas pouvoir vous joindre rapidement. Cela peut permettre à l'attaquant de savoir quand attaquer au mieux vous ou votre employeur. Alors oui, même le temps de réponse a de la valeur.

La prochaine chose qui peut être utile est les mots que vous utilisez et vos phrases très personnelles Des choses comme "Merci encore" "Acclamations" "Paix" ou "Passez une bonne journée" peuvent aider un attaquant à forger des e-mails pour une campagne de phishing qui ont l'air exactement comme le texte que vous utiliseriez réellement dans la conversation.

Après cela, il y a l'identification du système d'exploitation cible. En bref, si la personne qui vous envoie ces informations utilise un appareil qui prend en charge le protocole iMessage d'Apple, elle pourra dans la plupart des cas voir si votre téléphone prend en charge iMessage ou ne donne pas une très forte probabilité de le dire. l'attaquant du système d'exploitation de base de votre téléphone comme étant iOS (iMessage pris en charge) ou Android/Autre (iMessage non pris en charge). Ce n'est en aucun cas absolu, mais s'ils collectent ces informations auprès d'un grand nombre de cibles, ce seront surtout des données précises.

Un exemple légèrement plus dangereux et, espérons-le, irréaliste à des fins de conversation, si une banque authentifiait un virement bancaire via une simple réponse Y ou N à partir d'un numéro de téléphone dans le fichier pour leur application mal écrite SMS application an SMS pourrait être créé à partir d'un numéro VoIP usurpé qui correspond au numéro de téléphone source réel de la banque.

Si un attaquant pouvait chronométrer les choses correctement (encore une fois, c'est un exemple irréaliste), il pourrait vous envoyer quelques faux textes pour déterminer votre vitesse de réponse moyenne à 15 heures environ, puis vous envoyer une question bien synchronisée à la recherche d'un `` Y '' ou une réponse "N" qui est à son tour renvoyée au numéro de banque usurpé.

En un mot, on vous demande quelque chose de ridicule comme: "Aimeriez-vous voir une image de moi dans un costume de panda sexy?" Y "ou" N "?

et cette réponse devient la réponse à "Une demande de virement de 10 000,00 $ à la banque nationale du hackerland a été demandée. Approuvez-vous cette demande? Répondez par" O "ou" N "?" par la nature de votre réponse au texte usurpé au numéro source de l'application bancaire.

Encore une fois, ceci est un exemple fictif, mais la combinaison de systèmes non sécurisés SMS dans certains pays combinés à des systèmes horriblement écrits permettant à l'utilisateur SMS de saisir quelque chose de similaire à ceci) pourrait être possible.

Sur le plan architectural SMS a été créé avant que la sécurité ne soit un problème, il n'a presque aucun contrôle de sécurité à proprement parler et bien qu'utile, il ne devrait pas être utilisé pour des applications de haute confiance comme l'autorisation de virements bancaires).

Même si cela semble amusant, vous donnez techniquement des données à cette personne/entité. S'ils s'avèrent malveillants et que vous ou votre employeur êtes des cibles utiles, il peut être judicieux de ne pas répondre ou, dans le cas d'iMessage, même d'ouvrir/accuser réception des messages.

De nombreuses organisations font de mauvaises choses à grande échelle en ce moment. Cela pourrait facilement faire partie d'un effort de reconnaissance à grande échelle.

Référence éventuellement utile: https://en.wikipedia.org/wiki/SMS_spoofing

33
Trey Blalock

A eu un problème similaire, mais a googlé le contenu du SMS et a vu qu'il s'agissait d'un canular. J'ai appelé mon fournisseur et ils m'ont dit que si vous répondez au message par SMS, vous êtes accusé de un prix normal SMS. Les expéditeurs malveillants visent à ce que vous les rappeliez pour savoir qui ils sont et que vous soyez surchargé.

Comme d'autres réponses décrites cependant, vous pourriez être facturé même lorsque vous répondez via SMS donc je suppose que la meilleure pratique serait de ne pas répondre aux messages provenant de numéros inconnus, surtout lorsqu'ils sont courts comme ceux vous semblez obtenir et ne pas expliquer qui ils sont

6
papakias

Quelque chose qui n'a pas été couvert dans les autres réponses est que des messages comme ceux-ci sont couramment utilisés pour vérifier si un numéro de téléphone est toujours actif. Vous voyez la beauté du GSM, c'est que vous n'avez pas besoin d'être connecté au réseau en même temps que le destinataire car les messages sont envoyés à un SMSC qui utilise un mécanisme appelé " stocker et transmettre ". Par conséquent, l'utilisation des messages SMS est un moyen attrayant de communiquer avec un individu car non seulement il garantit la livraison des messages, mais à peu près tout le monde l'utilise.

Même si la personne qui envoie le message n'a pas d'intention malveillante, elle est susceptible de vendre toutes les données qu'elle peut collecter sur votre numéro ou/et vous en tant qu'individu. Il existe des organisations criminelles qui se spécialisent dans ce type d'activités et peuvent tirer profit de ces activités. Le but d'envoyer un grand nombre de messages SMS est d'essayer de vous encourager à répondre, vous êtes probablement ennuyé de recevoir un si grand nombre de messages au point où vous envisagez de répondre à les messages, je vous conseille maintenant d'ignorer les messages.

Alors, pourquoi devriez-vous vous soucier si les données sont vendues à x, y ou z? Eh bien, pour le simple fait que vous ne savez pas à qui vend vos données et à qui elles les vendent. En ne répondant pas aux messages, vos données semblent moins utiles, les organisations/individus sont donc moins susceptibles d'acheter vos données. Cela ne veut pas dire qu'ils ne le feront pas, mais à mes yeux, quelqu'un qui répond à un SMS message est plus attrayant comme cible pour le phishing que quelqu'un qui ne le fait pas.

Par conséquent, même si la réponse au (x) message (s) initial (s) peut sembler avoir peu de conséquences, cela peut déclencher plus de messages à l'avenir car votre numéro de téléphone sera considéré comme actif. Après cela, vous commencerez à recevoir plus de messages SMS qui utiliseront des techniques de phishing.

En plus de cela, répondre à un message SMS peut également aider au reniflement GSM, mais cela dépend de nombreux facteurs tels que l'algorithme de cryptage dans lequel votre téléphone utilise.

Il serait dans votre intérêt d'ignorer les messages car, éventuellement, l'organisation ou les organisations détermineront probablement votre numéro comme inactif ou verront le spamming comme un coût plutôt qu'un avantage.

5
Us3rname