¿Cómo funciona prácticamente la suplantación de identidad por SMS?

He estado investigando en la web para obtener información sobre cómo puedo falsificar un SMS, pero parece que encuentro más información sobre cómo detectarlo o cómo usar herramientas para hacerlo en lugar de cómo hacerlo yo mismo.

He probado sitios web y aplicaciones que funcionaron perfectamente para falsificar SMS, pero los sitios web parecen ser capaces de detectar esto, así que quise sumergirme en esto y tal vez mejorarlo un poco. ¿Cómo funciona esta suplantación de identidad a nivel de software, cómo se construye un mensaje de texto falsificado y cómo pueden las empresas detectarlo?

Comentarios

  • @kieranClaessens: Lo siento, no pude ' entender qué es lo que quieres mejorar. ¿Quieres que los sitios web no lo detecten? Por cierto, ¿a qué te refieres con " sitios web "? Le sugiero que agregue más detalles a su pregunta, para que podamos ayudarlo más fácilmente. También tenga en cuenta que el envío de SMS anónimos puede ser ilegal en algunos países.

Responder

Depende de dónde está ubicado el teléfono receptor.

En los EE. UU., es probable que nunca vea que un SMS falsificado funcione, está bien bloqueado. Sin embargo, en otros países, hay menos validación a nivel del operador.

La suplantación de cualquier mensaje generalmente se realiza de una de tres formas.

  1. Fingiendo que eres un retransmisor proxy el mensaje para otra persona. Así es como se hace comúnmente la suplantación de correo electrónico, ya que normalmente no hay validación y el correo electrónico pasa a través de varias redes controladas por separado.
  2. Clonando las credenciales de un usuario legítimo y pretendiendo ser ellos, para que el proveedor de servicios crea es un mensaje legítimo de su usuario.
  3. Puede ejecutar una estación base falsa: los teléfonos se conectarán a su estación base ya que tiene la señal más fuerte (si está más cerca que una torre legítima) que usted puede falsificar cualquier dirección de remitente que desee. Ha habido muchos casos en los que esto ha sucedido. Por ejemplo, en la República Popular de China, donde recientemente encerraron a 1600 personas por ejecutar estaciones base falsas involucradas en el envío de mensajes no deseados. Esto solo afecta al usuario final al que se encuentra la estación base, no puede usarla para enviar un SMS a alguien en todo el país.

Responder

Simplemente necesita una forma de enviar mensajes SMS que le permita enviar un mensaje donde pueda especificar el remitente .

Como se indica en En otra respuesta, los operadores de telefonía celular de EE. UU. tienen reglas estrictas que hacen que la suplantación de identidad sea mucho más difícil. Por lo general, los mensajes enviados a números de EE. UU. deben tener un remitente numérico (es decir, un número de teléfono válido o un código corto).

En otros países, las cosas son menos estrictas. Es bastante común que las empresas y otras organizaciones establezcan como remitente el nombre de la empresa o el producto al que se refiere el mensaje.

Para las empresas legítimas en esos otros países, el problema del spam se trata con la expectativa de que la empresa se asegurará de que el destinatario pueda saber quién envió el mensaje. Este es un problema menor cuando los mensajes no son publicitarios (p. Ej., Códigos de verificación de inicio de sesión).

Utilizo SMS mecánicos ( https://www.clockworksms.com/ ) para enviar mensajes SMS mediante programación. Tienen bibliotecas disponibles que pueden usarse para enviar mensajes fácilmente desde lenguajes de programación comunes como C #, Java y PHP. Hay muchos otros proveedores que ofrecen el mismo tipo de servicio. Puedo especificar cualquier remitente que desee para estos mensajes. Yo no me hago pasar por nadie al hacerlo, pero significa que puedo configurar el remitente para que sea algo más significativo para mis aplicaciones.

También significa que usted podría utilice este tipo de servicio para enviar mensajes que parezcan ser de «PayPal» o «Google», pidiendo a alguien que haga clic en un enlace que lo llevará a un sitio de phishing.

Respuesta

Simplemente necesitas una forma de enviar mensajes SMS que te permita enviar un mensaje donde puedas especificar el remitente.

Esa es ciertamente la forma más fácil de hacerlo, pero tener ese nivel de acceso es difícil. Mi empresa proporciona aplicaciones y API para permitir que las personas envíen / reciban SMS. Trabajamos mucho para asegurarnos de que el «remitente» que estableces sea un número de teléfono que te pertenece.

Nos conectamos directamente a los agregadores de SMS y, por lo general, no realizan mucha validación en el teléfono del remitente. que proporciona nuestra plataforma. Por ejemplo, puedo enviarme fácilmente un mensaje desde un número falso como 15551234567, un número gratuito, el teléfono fijo o móvil de alguien, etc.

Dicho esto, los operadores y los agregadores monitorean constantemente el spam y otros patrones de uso extraños. Bloquearán los números de teléfono y / o los originadores de tráfico incorrecto. Uno o dos mensajes falsos ocasionales podrían pasar desapercibidos, pero es de interés para cualquier entidad que le otorgue acceso al mundo de los SMS evitar que envíe este tipo de mensajes.

tl; dr: La suplantación de identidad es posible, pero tendrá dificultades para encontrar a alguien que esté dispuesto a darle ese acceso, ya que otorgar ese acceso podría poner en peligro todo su negocio.

Comentarios

  • ¿Por qué haces todo ese trabajo para asegurarte de eso? ¿No sería ' tu servicio más útil sin esa restricción? ? ¿Por qué le conviene evitarlo? Si habilita más formas de usar su servicio, ' obtendrá más negocios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *