web-dev-qa-db-fra.com

Comment fonctionne SMS usurpation d'identité?

J'ai fait des recherches sur le Web pour savoir comment je peux usurper un SMS moi-même, mais je semble trouver plus sur la façon de le détecter, ou comment utiliser des outils pour le faire plutôt sur la façon de faire moi-même.

J'ai essayé des sites Web et des applications, qui fonctionnaient parfaitement pour usurper SMS mais les sites Web semblent être capables de le détecter, donc je voulais y plonger et peut-être l'améliorer un peu. Comment fonctionne ce travail d'usurpation au niveau logiciel, comment est construit un message texte usurpé, et comment les entreprises sont-elles capables de le détecter?

14
kieran Claessens

Cela dépend de l'emplacement du téléphone récepteur.

Aux États-Unis, il est peu probable que vous voyiez un faux SMS travail, il est verrouillé assez serré. Dans d'autres pays cependant, il y a moins de validation au niveau du transporteur.

L'usurpation de n'importe quel message se fait généralement de l'une des 3 façons suivantes.

  1. Faire semblant d'être un proxy relayant le message pour quelqu'un d'autre. C'est généralement la façon dont l'usurpation de courrier électronique est effectuée, car il n'y a généralement pas de validation et le courrier électronique passe par plusieurs réseaux contrôlés séparément.
  2. Clonage des informations d'identification des utilisateurs légitimes et prétendre être eux, de sorte que le fournisseur de services pense que c'est un message légitime de leur utilisateur.
  3. Vous pouvez exécuter une fausse station de base - les téléphones se connecteront à votre station de base car elle a le signal le plus fort (si elle est plus proche qu'une tour légitime), vous pouvez usurper n'importe quelle adresse d'expéditeur que vous aimez. Il y a eu de nombreux cas de cela. Par exemple, en République populaire de Chine, où ils ont récemment enfermé 1600 personnes pour avoir exécuté de fausses stations de base impliquées dans le SMS spamming. Cela n'affecte que l'utilisateur final dont la station de base est proche, vous pouvez ne l'utilisez pas pour envoyer un SMS à quelqu'un à travers le pays.
7
Daisetsu

Vous avez simplement besoin d'un moyen d'envoyer des messages SMS qui vous permettent d'envoyer un message où vous pouvez spécifier l'expéditeur .

Comme indiqué dans une autre réponse, les opérateurs de téléphonie cellulaire américains ont mis en place des règles strictes qui rendent l'usurpation d'identité beaucoup plus difficile. En règle générale, les messages envoyés à des numéros américains doivent avoir un expéditeur numérique (c'est-à-dire un numéro de téléphone valide ou un code de fonction).

Dans d'autres pays, les choses sont moins strictes. Il est assez courant pour les entreprises et autres organisations de définir l'expéditeur sur le nom de l'entreprise ou du produit auquel le message se rapporte.

Pour les entreprises légitimes dans ces autres pays, la question du spam est traitée par l'attente que l'entreprise s'assurera que le destinataire peut dire qui a envoyé le message. Il s'agit moins d'un problème où les messages ne sont pas de la publicité (par exemple, des codes de vérification de connexion).

J'utilise Clockwork SMS ( https://www.clockworksms.com/ ) pour envoyer SMS messages par programme. Ils ont des bibliothèques disponible qui peut être utilisé pour envoyer des messages facilement à partir de langages de programmation courants comme C #, Java et PHP. Il existe de nombreux autres fournisseurs offrant le même type de service. Je peux spécifier n'importe quel expéditeur que je veux pour ces messages. [~ # ~] i [~ # ~] n'emprunte l'identité de personne en le faisant, mais cela signifie que je peux définir le l'expéditeur pour être quelque chose de plus significatif pour mes applications.

Cela signifie également que vous pouvez utiliser ce type de service pour envoyer des messages qui semblent provenir de "Paypal" ou de "Google", en demandant à quelqu'un de cliquer sur un lien qui les mènera à un site de phishing.

3
Daveoc64

Vous avez simplement besoin d'un moyen d'envoyer des messages SMS qui vous permettent d'envoyer un message où vous pouvez spécifier l'expéditeur.

C'est certainement la façon la plus simple de le faire, mais avoir ce niveau d'accès est difficile. Mon entreprise fournit des applications et des API pour permettre aux gens d'envoyer/recevoir des SMS. Nous faisons beaucoup de travail pour nous assurer que "l'expéditeur" que vous définissez est un numéro de téléphone vous appartenant.

Nous nous connectons directement aux agrégateurs SMS, et ils ne font généralement pas beaucoup de validation sur le numéro de téléphone de l'expéditeur fourni par notre plate-forme. Par exemple, je peux facilement m'envoyer un message à partir d'un faux numéro comme 15551234567, un numéro sans frais, le téléphone fixe ou mobile de quelqu'un, etc.

Cela dit, les transporteurs et les agrégateurs surveillent constamment le spam et les autres modes d'utilisation étranges. Ils bloqueront les numéros de téléphone et/ou les auteurs de mauvais trafic. Un ou deux messages usurpés occasionnels pourraient passer sous le radar, mais il est dans l'intérêt de toutes les entités qui vous accordent l'accès au monde SMS pour vous empêcher d'envoyer ce type de messages.

tl; dr: l'usurpation d'identité est possible, mais vous aurez du mal à trouver quelqu'un qui souhaite vous donner cet accès, car l'octroi de cet accès pourrait mettre en péril l'ensemble de votre entreprise.

2
Noah Cushing