СМС-подмена
Эта статья нуждается в дополнительных цитатах для проверки . ( январь 2008 г. ) |
Подмена SMS — это технология, которая использует службу коротких сообщений (SMS), доступную на большинстве мобильных телефонов и персональных цифровых помощников , чтобы установить, от кого, по-видимому, пришло сообщение, путем замены исходного номера мобильного телефона (идентификатор отправителя) буквенно-цифровым текстом. Спуфинг имеет как законное использование (установка названия компании, от которой отправляется сообщение, установка собственного номера мобильного телефона или названия продукта), так и незаконное использование (например, выдача себя за другое лицо, компанию, продукт). Это также может привести к отправке «таинственных» сообщений, которые выглядят так, как будто они отправлены с законных номеров или контактов.
Как осуществляется SMS-подмена
[ редактировать ]SMS-спуфинг происходит, когда отправитель манипулирует информацией об адресе. Часто это делается для того, чтобы выдать себя за пользователя, который зашел в чужую сеть и отправляет сообщения в домашнюю сеть. Часто эти сообщения адресуются адресатам за пределами домашней сети – при этом домашний SMSC по сути «захватывается» для отправки сообщений в другие сети. В запущенных случаях они могут даже захватить существующие контакты в телефоне. Другими словами, сообщение угонщика может показаться исходящим с любого номера.
Эффект от этой деятельности тройной:
- В домашней сети может взиматься плата за завершение соединения, вызванная доставкой этих сообщений партнерам по межсетевому соединению.
- Эти сообщения могут представлять интерес для партнеров по межсетевому соединению. Их клиенты могут жаловаться на спам или содержание сообщений может быть политически чувствительным. Партнеры по межсетевому соединению могут угрожать отключить домашнюю сеть, если не будут приняты меры правовой защиты. Домашние абоненты не смогут отправлять сообщения в эти сети.
- Хотя мошенники обычно используют поддельные идентификаторы для отправки сообщений, существует риск того, что эти идентификаторы могут совпадать с идентификаторами реальных домашних абонентов. Таким образом, возникает риск того, что настоящим абонентам может быть выставлен счет за роуминговые сообщения, которые они не отправляли. Если такая ситуация произойдет, целостность процесса выставления счетов домашнего оператора может быть поставлена под угрозу, что может оказать огромное влияние на бренд.
Законные случаи использования подмены SMS включают в себя:
- Отправитель передает SMS-сообщение из онлайн-компьютерной сети, что обеспечивает более низкую, более конкурентоспособную цену и облегчает ввод данных с полноразмерной консоли. Они должны подделать свой номер, чтобы правильно идентифицировать себя.
- У отправителя нет мобильного телефона, и ему необходимо отправить SMS с номера, который он заранее предоставил получателю, как средство активации учетной записи.
- Отправитель использует идентификатор сетевого шлюза по умолчанию, предоставленный онлайн-сервисом, для отправки анонимного SMS-сообщения, а не указывает номер по своему выбору.
- Третья сторона отправляет сообщение на виртуальный номер, который затем пересылает (повторно отправляет) сообщение одному или нескольким получателям таким образом, что истинный адрес отправителя (а не виртуальный номер) отображается в качестве идентификатора отправителя и получателя(ов). ) может ответить, позвонить, отсортировать, сохранить или иным образом обработать сообщение ожидаемым образом.
Атака спуфинга SMS часто впервые обнаруживается по увеличению количества ошибок SMS, возникающих во время прогона счетов. Эти ошибки вызваны поддельными идентификаторами подписчиков. Операторы могут в ответ заблокировать разные адреса источников в своих шлюзах- MSC , но мошенники могут легко изменить адреса, чтобы обойти эти меры. Если мошенники перейдут на использование исходных адресов у крупного партнера по межсетевому соединению, заблокировать эти адреса может стать невозможным из-за потенциального воздействия на обычные услуги межсетевого соединения.
Законность
[ редактировать ]В 2007 году британский регулятор премиальных тарифов PhonepayPlus (ранее ICSTIS) завершил публичные консультации по анонимным SMS, в которых заявил, что не против использования таких услуг. Однако в 2008 году PhonePayPlus ввел новое правило, касающееся анонимных SMS, требующее от поставщиков услуг анонимных SMS отправлять получателю дополнительное сообщение о том, что ему было отправлено поддельное SMS, и управлять линией помощи по жалобам.
Защита пользователей от подмены SMS
[ редактировать ]Если пользователь может доказать, что его сеансы SMS были подделаны, ему следует обратиться как в правоохранительные органы, так и к своему оператору сотовой связи , который сможет отследить, откуда на самом деле были отправлены SMS-сообщения. Пользователь также может изменить настройки телефона, чтобы разрешать сообщения только с авторизованных номеров. Это не всегда эффективно, поскольку хакеры также могут выдавать себя за друзей пользователя.