LINUX.ORG.RU
ФорумTalks

Вышла статья про то, почему возможен SMS-фишинг

 ,


1

3

Собственно, сабж: https://www.bejarano.io/sms-phishing/ .

Для Ъ в двух словах: у SMS есть поле «sender ID», которое устанавливается отправителем без всяких ограничений и проверок. Поэтому кто угодно может в SMS представиться кем угодно и телефон это прожуёт, а владелец телефона не заметит разницы.

★★★★★

С разморозкой!

Давно в даркнете продаются симки с возможностью подмены исходящего номера. Даже в рунете реальные обзоры это фигни отгремели лет пять как.

quwy
()
Ответ на: комментарий от tz4678_2

как в прочем и отправка email от чьего угодно имени возможна… то же технология 90-х

А еще можно пожать руку и представиться кем-угодно. Тоже старая технология.

level1 ★★
()
Ответ на: комментарий от GoodRussian

Лёша сам себе походу звонил, и вообще, он пранкер ещё тот.

Всё что он про виноградники говорил и прочее оказалось враньём, так как не было никаких конфискаций со стороны Франции и других стран Европы.

А всё что про его организацию власть говорила оказалось правдой, вся шайка в Вашингтон свалила, кроме собственно Лёши.

fsb4000 ★★★★★
()

которое устанавливается отправителем без всяких ограничений и проверок

Это гон. Ограничения и проверки зависят от провайдера и страны, как для смс так и для звонков. Там по поводу cid/sid сцатая тонна маленьких нюансов, что не месяц так что-то где-то новое вводят. Например в штатах в мае ввели требование авторизации cid для звонков (https://www.fcc.gov/call-authentication). Австралия тоже страдала чем-то похожим в январе, но там хитрее было (авторизация для не-локальных номеров или что-то такое)

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

Там по поводу cid/sid сцатая тонна маленьких нюансов

Лучшее описание «вот этого всего»! Это легаси тянут еще с лихих.

anc ★★★★★
()

PT это еще лет 10 назад описали. Добавь тег «я познаю мир»

Lordwind ★★★★★
()

Несмотря на то, что технически протокол один, в одних странах эта возможность представляет проблему, а в других нет, что заставляет задуматься, что проблема в местных регуляциях(государственных или отраслевых, это уже не такой интересный вопрос)

cobold ★★★★★
()
Ответ на: комментарий от cobold

Зато в одних странах телефонные мошенники чувствуют полную безнаказанность, а в других - примерно с марта почти что исчезли, что заставляет задуматься, почему бы всем странам не начать блокировать нах все иностранные коллсентры.

Ведь всё равно никто в здравом уме не станет звонить в техподдержку.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 2)
Ответ на: комментарий от vvn_black

Произошло перестроение логистических цепочек :)

cobold ★★★★★
()
Ответ на: комментарий от token_polyak

Только их исчезли не за то, что стригут граждан, а за то, что начали кое-какие обращения транслировать.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 5)
Ответ на: комментарий от tz4678_2

Нет, просто надо внимательно подпись проверять

Goury ★★★★★
()

Это ещё не самое страшное.
Вот тебе более страшное: получиль SMS любого абонента за любое время может кто угодно и это не просто, а очень просто.

Goury ★★★★★
()
Последнее исправление: Goury (всего исправлений: 1)

2019 год

Из-за нового законодательства Европейского Союза одноразовые способы SMS-аутентификации останутся в прошлом.

Вот интересно, что скажут по этому поводу лоровцы из стран ЕС, «осталось в прошлом» или поговорили и заглохло? У нас-то и госуслуги, и банки — всё через СМС. (Ну банки пуши через свои приложения для андроид присылают. Если не получается, всё равно пришлют SMS.) Если и есть другие варианты (токены?), то они не очень распространены.

(Понимаю, что ОП про другое)

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от greenman

Ну вот Россия и Казахстан делили зону +7. Казахстану досталось +76 (не использовалось), +77 (использовалось).

Но после серии атак на телефоны в Казахстане посредством СМС, Правительство РК решило выйти зоны +7, теперь в Казахстане будет +997.

Естественно, новая зона будет под полным управлением Казахстана.

Nurmukh ★★★
()
Последнее исправление: Nurmukh (всего исправлений: 1)
Ответ на: комментарий от Goury

получиль SMS любого абонента за любое время может кто угодно и это не просто, а очень просто.

Насколько я знаю, для таких фортелей нужна базовая станция и статус провайдера в какой-нибудь стране третьего мира (продается в интернете). Не сказал бы, что очень просто)

Dog ★★★
()
Ответ на: комментарий от greenman

В ЕС можно написать жалобу по факту грубого нарушения GDPR и через пару месяцев любая контора от мала до велика убирает эти СМС и сразу оказывается что никакх проблем прикрутить TOTP никогда не было.
Чтобы было быстрее — надо обращаться к адвокату в той стране где находится неугодная контора.

Goury ★★★★★
()
Ответ на: комментарий от Dog

Не нужна.
Какой-нибудь провайдер из какой-нибудь страны третьего мира тебе одолжит и статус и станцию и даже апи для перехвата чего угодно от сообщений до триангуляции локации с точностью до полуметра даст.
И стоит это добро всего сотню-другую баксов за операцию.

Goury ★★★★★
()
Ответ на: комментарий от Goury

При этом в ЕС говорят этого спама чуть больше чем дофига. «говорят» это не по ОБС, интересовался этим вопросом у знакомых живущих там.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.