web-dev-qa-db-fra.com

Si quelqu'un demande à emprunter votre téléphone pour passer un appel, que pourrait-il faire?

Un étranger s'approche de vous dans la rue. Ils disent qu'ils ont perdu leur téléphone et doivent passer un coup de fil (cela m'est arrivé deux fois, et peut-être à vous). Quelle est la pire chose qu'un appel téléphonique puisse faire?

Supposons qu'ils ne fonctionnent pas, ne branchez aucun appareil au téléphone, ils composent simplement un numéro et font tout, et raccrochent.

social-engineeringphone
75
Andy Ray

Quelques escroqueries que j'ai vues faire le tour:

  • Utilisez-le pour composer un numéro surtaxé appartenant au groupe. Au Royaume-Uni, les numéros 09xx peuvent coûter jusqu'à 1,50 £ par minute, et la plupart des fournisseurs 09xx facturent environ 33%, donc un appel téléphonique de cinq minutes met 5 £ entre les mains du groupe. Si vous êtes un bon ingénieur social, vous n'aurez peut-être qu'un intervalle de 10 minutes entre les appels lorsque vous vous promenez dans une rue très fréquentée, ce qui représente 15 £ de l'heure (hors taxes!) - soit presque le triple du salaire minimum.
  • Utilisez-le pour envoyer des SMS surtaxés. La réglementation y est plus stricte, mais si vous pouvez obtenir un tarif supérieur SMS numéro configuré, vous pouvez facturer jusqu'à 10 £ par SMS. Un escroc verrait généralement entre 5 £ et 7 £ de cela, après que le fournisseur a fait une réduction. Il est également possible de définir un coût récurrent, où le fournisseur vous envoie des messages chaque jour et vous facture jusqu'à 2,50 £ pour chacun. Selon la loi, le fournisseur de services doit automatiquement l'annuler s'il envoyez un SMS disant STOP, mais chaque message supplémentaire que vous envoyez vous rapporte de l'argent.
  • Configurez une application dans l'App Store, puis achetez-la sur les téléphones des utilisateurs. Cela peut être très coûteux pour la victime, car les applications peuvent coûter très cher - certaines jusqu'à 80 £. Les achats intégrés fonctionnent également. C'est précisément pourquoi vous devriez être invité à entrer votre mot de passe sur chaque achat d'application et achat intégré, mais tous les téléphones ne le font pas!
  • Installez une application malveillante, telle que le cheval de Troie mobile Zeus. Cela peut ensuite être utilisé pour voler des informations d'identification bancaires et des comptes de messagerie. Cela semble gagner en popularité sur les téléphones Android Android.
72
Polynomial

Ils pourraient composer leur propre numéro pour obtenir le vôtre (en supposant que votre numéro n'est pas privé.)

Je pense que je viens d'inventer un nouveau mouvement de camionnette, quelque peu puissant et effrayant.

31
Toby

Ils pourraient l'utiliser pour envoyer le signal de détonation à l'arme nucléaire qu'ils ont sécrétée dans un entrepôt à Manhattan. C'est à peu près le pire des cas.

30
Mike Scott

Certains réseaux mobiles dans le monde permettent aux utilisateurs de transférer des soldes prépayés d'un compte à un autre. Alternativement, ils peuvent envoyer une sorte de SMS incriminant à partir de votre téléphone, ce qui peut vous poser des problèmes avec l'agent des forces de l'ordre.

9
Akshay Joshi

Ils peuvent composer un USSD pour obtenir des informations supplémentaires sur vous ou votre appareil. Certains codes UUSD ont été documentés pour pouvoir effectuer une réinitialisation d'usine sur votre téléphone. Source

6
KDEx

avec un caoutchouc USB sur Android le mot de passe de la broche pourrait être piraté (forcé brutalement) http://hakshop.myshopify.com/products/usb-rubber-ducky

ils pourraient ensuite créer une sauvegarde de votre appareil, ils pourraient analyser les sauvegardes déjà créées, ils pourraient télécharger toutes vos données, supports, etc. enregistrés et l'utiliser pour pénétrer davantage dans d'autres domaines d'intérêt.

https://santoku-linux.com

ils pourraient exécuter le téléphone via un framework pentest de smartphone et l'infecter à des fins de botnet.

http://georgiaweidman.com/wordpress/

ils pourraient le colporter pour de l'argent

http://www.cashamerica.com/

sur une note latérale, si vous avez de la chance, ils pourraient;

  1. corriger tous les contacts en double que vous avez
  2. organiser vos médias mobiles
  3. terminer la publication de votre message facebook que vous avez laissé ouvert
  4. battre ce niveau dur sur Angry birds pour vous
  5. Appelez vos numéros les plus appelés pour retourner votre téléphone
  6. Appelez le transporteur pour signaler qu'il a perdu/volé
  7. etc
6
Oscalation

Bien que faire exploser une bombe ou un EMP soit le plus nocif, je pense que les scénarios suivants sont beaucoup plus susceptibles de se produire.

Si vous avez un smartphone, il est très probable que vous ayez une sorte de widget météo sur l'écran d'accueil qui indique à l'attaquant quelle est votre ville natale. De plus, je n'ai pas encore vu un smartphone sans widget d'actualités, qui encore une fois, indique à l'attaquant quel genre de personne vous êtes. Suivez-vous une actualité financière? Sport? IL? La même chose peut être faite en regardant simplement vos applications installées. Avez-vous des jeux? Lesquels? Avez-vous des applications de réservation? Ce type d'application conserve-t-il une sorte d'histoire? Eh bien, en bref, en quelques secondes, l'attaquant peut vous faire un profil assez fiable. Avez-vous une application pour ordinateur portable? Qu'avez-vous écrit dedans?

La deuxième menace est ... Eh bien, très probablement, vous venez de lui donner un accès complet à tous vos comptes de messagerie et avec quelques pressions sur l'écran, il pourrait transférer tous vos mails sur son compte.

La dernière chose dont je me souvienne, ce sont les farces. Bien que cela ne ressemble à rien de dangereux, cela peut être vraiment désagréable. L'attaquant pourrait envoyer à un contact aléatoire de sexe opposé SMS - "Hé, je pense à vous ...". Imaginez simplement si ce contact aléatoire est l'ami de votre femme (maintenant, le scénario de détonation d'une arme nucléaire n'est pas si effrayant, n'est-ce pas?) Ou encore un message plus explicite à un contact enregistré en tant que membre de votre famille (par exemple, Mère) .Il pourrait également mettre à jour votre statut Facebook, laisser un message sur Twitter ou téléchargez certaines de vos photos privées vers un service public.

6
StupidOne

Avec certains téléphones, il est possible d'appeler les commandes du système ou même de verrouiller la carte SIM, simplement en visitant un site Web préparé. Il y a un article il y a quelque temps sur Heise security à propos de ce problème.

4
martinstoeckli

Règle 3: Si un méchant a un accès physique illimité à votre ordinateur, ce n'est plus votre ordinateur.

3
Graham Hill

Je ne les ai pas vus: ajouter un autre compte de synchronisation, transférer vos appels, récupérer automatiquement le code PIN (boostmobile), appeler des trafiquants de drogue, faire des menaces sur votre téléphone.

2
user73042

Pas très probable pour la plupart des gens ici, mais ils pourraient faire exploser un engin piégé à l'autre bout du monde. Un téléphone peut faire beaucoup de mal.

1
Phil