Como funciona o spoofing de SMS na prática?

Tenho pesquisado na web informações sobre como posso falsificar um SMS, mas acho que descobri mais sobre como detectá-lo ou como uso ferramentas para fazer isso, em vez de como fazer sozinho.

Eu tentei sites e aplicativos que funcionaram perfeitamente para falsificar SMS, mas os sites parecem ser capazes de detectar isso, então eu queria mergulhar no isso e talvez melhorá-lo um pouco. Como essa falsificação funciona em nível de software, como uma mensagem de texto falsificada é construída e como as empresas podem detectar isso?

Comentários

  • @kieranClaessens: Desculpe, não consegui ' não entender o que você deseja aprimorar? você quer que os sites não detectem isso? BTW, o que você quer dizer com " sites "? Eu sugiro que você adicione mais detalhes à sua pergunta, para que seja mais fácil para nós ajudarmos. Também esteja ciente de que enviar SMS anônimo pode ser ilegal em alguns países.

Resposta

Depende de onde o o telefone receptor está localizado.

Nos EUA, é pouco provável que você veja um SMS falsificado funcionando, ele está bem bloqueado. Em outros países, porém, há menos validação no nível da operadora.

A falsificação de qualquer mensagem geralmente é feita de uma das três maneiras.

  1. Fingir que você é um retransmissor proxy a mensagem para outra pessoa. Geralmente é assim que o spoofing de e-mail é feito, já que geralmente não há validação e o e-mail passa por várias redes controladas separadamente.
  2. Clonando credenciais de usuários legítimos e fingindo ser eles, para que o provedor de serviços acredite é uma mensagem legítima do usuário.
  3. Você pode executar uma estação base falsa – os telefones se conectarão à sua estação base, pois ela tem o sinal mais forte (se estiver mais perto do que uma torre legítima), então você pode falsificar qualquer endereço de remetente que você desejar. Isso aconteceu em muitos casos. Por exemplo, na República Popular da China, onde recentemente prenderam 1.600 pessoas por executarem estações base falsas envolvidas em spamming de SMS. Isso afeta apenas o usuário final do qual a estação base está próxima, você não pode “usá-la para enviar um SMS para alguém em todo o país.

Resposta

Você simplesmente precisa de uma forma de enviar mensagens SMS que permita o envio de uma mensagem na qual você possa especificar o remetente .

Conforme observado em outra resposta, as operadoras de celular dos EUA têm regras rígidas em vigor que tornam a falsificação muito mais difícil. Normalmente, as mensagens enviadas para números dos EUA devem ter um remetente numérico (ou seja, um número de telefone válido ou código curto).

Em outro países as coisas são menos rígidas. É bastante comum para empresas e outras organizações definirem o remetente como o nome da empresa ou produto ao qual a mensagem se refere.

Para empresas legítimas nesses outros países, o problema O problema do spam é resolvido com a expectativa de que a empresa garantirá que o destinatário saiba quem enviou a mensagem. Isso é menos problemático quando as mensagens não são publicitárias (por exemplo, códigos de verificação de login).

Eu uso Clockwork SMS ( https://www.clockworksms.com/ ) para enviar mensagens SMS programaticamente. Eles têm bibliotecas disponíveis que podem ser usadas para enviar mensagens facilmente de linguagens de programação comuns como C #, Java e PHP. Existem muitos outros provedores que oferecem o mesmo tipo de serviço. Posso especificar qualquer remetente que desejar para essas mensagens. Eu não personifico ninguém ao fazer isso, mas significa que posso definir o remetente para ser algo mais significativo para meus aplicativos.

Isso também significa que você pode use esse tipo de serviço para enviar mensagens que parecem ser do “PayPal” ou “Google”, pedindo a alguém que clique em um link que o levará a um site de phishing.

Resposta

Você simplesmente precisa de uma forma de enviar mensagens SMS que permita o envio de uma mensagem onde você possa especificar o remetente.

Essa é certamente a maneira mais fácil de fazer isso, mas ter esse nível de acesso é difícil. Minha empresa fornece aplicativos e APIs para permitir que as pessoas enviem / recebam SMS. Trabalhamos muito para garantir que o “remetente” que você definiu seja um número de telefone pertencente a você.

Nós nos conectamos diretamente a agregadores de SMS, e eles geralmente não fazem muita validação no telefone do remetente número que nossa plataforma fornece. Por exemplo, posso facilmente enviar uma mensagem para mim mesmo de um número falso como 15551234567, um número gratuito, o telefone fixo ou celular de alguém etc.

Dito isso, as operadoras e agregadores monitoram constantemente a existência de spam e outros padrões de uso estranhos. Eles bloquearão números de telefone e / ou originadores de tráfego ruim. Uma ou duas mensagens falsificadas ocasionais podem passar despercebidas, mas é do interesse de qualquer entidade que conceda a você acesso ao mundo do SMS impedir que você envie esse tipo de mensagem.

tl; dr: O spoofing é possível, mas você terá dificuldade em encontrar alguém disposto a lhe dar esse acesso, já que conceder esse acesso pode comprometer todo o negócio deles.

Comentários

  • Por que você faz todo esse trabalho para ter certeza disso? Não ' seu serviço seria mais útil sem essa restrição ? Como é do seu interesse evitá-lo? Se você permitir mais formas de usar o serviço, ' conseguirá mais negócios.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *