4/11/2009
Kilka lat temu wszyscy zabawiali się wysyłając e-maile jako bill.gates@microsoft.com. Dziś, dla większości społeczeństwa szybka wymiana wiadomości kojarzy się raczej z SMS-ami, a nie pocztą elektroniczną. Niestety, nowe protokoły komunikacji wykorzystywane w sieciach GSM są tak samo podatne na ataki jak stary i wysłużony SMTP. Dziś przyjrzymy się fałszowaniu pola nadawcy w SMS-ach i zagrożeniom, które z tego wynikają. Nauczymy się też, jak rozpoznawać fałszywe SMS-y.
Jak sfałszować pole nadawcy w SMS?
Najprościej będzie skorzystać z jednej z internetowych bramek. Praktycznie żadna nie udostępnia już darmowych usług, ale nie są one specjalnie drogie. Po wykupieniu kredytu uzyskujemy dostęp do formularza, który zazwyczaj wygląda tak:
Bramka służąca do fałszowania numeru nadawcy SMS-a
Jako nadawcę SMS-a możemy wybrać numer (od 5 do 16 cyfr). Efekt?
Fałszywy SMS z numeru 12345
Formatowanie numeru zostało wykonane automatycznie przez telefon. Warto pamiętać, że jeśli wyślemy SMS-a z numeru, który odbiorca posiada w swojej książce kontaktowej, to w większości przypadków zostanie on zastąpiony nazwą kontaktu (co tylko dodaje wiarygodności naszej wiadomości).
Jako nadawcę można też podać dowolny ciąg znaków (do 11 liter). Jeśli wpiszemy “TVN”, to otrzymamy wiadomość od “TVN”… Poniżej SMS wysłany z nadawcą ustawionym na “vicurry”:
Podgląd fałszywego SMS-a
Ataki (smishing i groźby)
Należy pamiętać o tym, że wysyłając SMS-y z fałszywym nadawcą nie mamy kanału zwrotnego (wszelkie próby odpowiedzi ofiary na naszego SMS-a zostaną przekazane oryginalnemu właścicielowi numeru, a nie nam). Stąd, wszystkie ataki polegają głównie na skłonieniu ofiary do wykonania jakiejś czynności (phishing, groźby).
Podszywając się pod numer dyrektora technicznego można np. nakazać pracownikowi działu IT otwarcie portu na firmowym firewallu. Udając bliską ofierze osobę można prosić o przelanie pieniędzy na wskazany w SMS-ie numer konta… Wreszcie, można wysłać sobie samemu SMS-a z numeru szefa (żony), zawierającego informację o podwyżce (zaproszenie na kolację), a następnie stanowczo żądać spełnienia obietnicy ;-)
Kradzież tożsamości w serwisach internetowych
Osobną grupą ataków jest możliwość kradzieży tożsamości i publikowanie treści w imieniu innego użytkownika na jednym z serwisów internetowych, na którym atakowany użytkownik ma konto (o ile serwis pozwala na dodawanie treści poprzez SMS/MMS). W Polsce będą to: Nasza-Klasa, Blip i Flaker (oraz zapewne wiele innych). Jeśli użytkownik serwisu posiada skojarzony z nim numer telefonu, to wysłanie podrobionego SMS-a na numer dostępowy serwisu spowoduje zaktualizowanie treści w profilu ofiary. Serwis myśli, ze autorem SMS-a jest jego użytkownik (a nie bramka).
Jeśli znasz numer tel. Zbigniewa Hołdysa, możesz zapostować coś na jego Blipie...
Wiele z polskich serwisów do tej pory nie jest zabezpieczonych przed tym atakiem. Jedną z metod ochrony jest wymóg podania w treści SMS-a, oprócz wiadomości do serwisu, także sekretnego hasła, które wybiera użytkownik. Zachodnie portale (np. Twitter, czy Facebook) od dawna korzystają z podobnych sposobów ochrony SMS spoofingiem.
Spoofing SMS jako prezent dla dzieci?
Są też “dobre” ataki: możliwość modyfikacji nadawcy SMS-a można wykorzystać do zrobienia dzieciom prezentu na święta (wysyłając SMS-a z życzeniami od “Sw. Mikolaj“). Niestety, jak pokazuje życie, osoba która korzysta z w/w bramek ma z reguły złe intencje — dlatego warto wiedzieć, jak rozpoznać atak.
Obrona przed fałszywymi SMS-ami
Rozpoznanie fałszywego SMS-a wymaga odrobiny pracy. W pierwszym kroku musimy usunąć z kontaktów osobę od której otrzymaliśmy “podejrzanego” SMS-a. Aby móc wykryć fałszerstwo, telefon powinien pokazywać w polu “Od” numer, a nie nazwę z książki kontaktowej.
Jeśli numer nie zaczyna się od znaku “+” możemy być pewni, że nadawca SMS-a został podrobiony. Większość bramek internetowych nie pozwala bowiem na wpisanie fałszywego numeru ze znakiem + na początku. Długość ciągu znaków, który możemy podać, ograniczona jest z reguły do 11 znaków. To uniemożliwia wpisanie takiego numeru: +48666123456, natomiast numer 48666123456 przejdzie bez problemu i co więcej, zostanie dopasowany do odpowiedniej osoby z naszej książki kontaktów (telefony potrafią dopasować numery do osób już po kilku ostatnich cyfrach).
W trakcie spraw sądowych, weryfikacja SMS-a nie opiera się jedynie na przebadaniu telefonu ofiary. Sprawdza się również telefon domniemanego nadawcy (skrzynkę nadawczą) oraz logi po stronie operatora. W związku z tym (i na szczęście), bardzo ciężko jest “wrobić” kogoś za pomocą SMS spoofingu. Ale czy to oznacza, że możemy spać spokojnie…?
Przeczytaj także:
- Ustaw PIN na poczcie głosowej, bo…
- Odebranie tego SMS-a będzie Cię drogo kosztowało
- Smishing: uwaga na wyłudzenia w sieci Plus
Widzę, że niedawno powstał serwis. Już was dodałem na blipie i w rssach także. Podoba mi się to, iż nie zamieszczacie 666 newsów o byle czym, albo opisanych w kilku zdaniach, tylko tak jak jest teraz. Czyli nie przesadzać z aktualizacją, ale stawiać na jakość. Jestem z wami :D!
Haha wczoraj o tym blipnąlem czy to kogos jeszcze dziwi ;p
A swoja droga korzystam z tego samego serwisu co wykorzystałeś do arta.
Swoja droga ubiegleś mnie z tematem ;p mozesz arta jeszcze uzupelnic o spoofowanie nadawcy rozmowy przychodzacej…
@Czachol: myślę, że nie pokrzyżuję planów vi.currego, jeśli zdradzę, że temat spoofingu CallerID czeka w kolejce do publikacji ;)
Podrabiane SMS-y istnieją już od ładnych kilku lat (5?). Pamiętam, że w nokiach (od dłuższego czasu używam innej marki i niestety nie ma tej opcji) w detalach SMS-a było podane “centrum wiadomości” (lub podobnie). Po tym też można było bardzo łatwo rozpoznać.
Hmmm co do fabrykowania nadawcy maili, chodzi o serwery SMTP, które nie wymagają autoryzacji adresu nadawcy? czy może o jakiś inny (nieznany mi sposób)?
A co z serwisem SMS PKO/Inteligo?
Jako nadawca podane jest “Inteligo”.
Liczylem na opis metody a nie link do bramki…
Piotr: Autorowi artykułu raczej chodziło o to, żeby wyjaśnić jak rozpoznać taki żart/atak i się przed nim uchronić, a nie ułatwiać atakowanie :P
Ale zeby sie lepiej sie obronic lepiej znac metode “ataku” :).
@Piotr: Tak samo wysyła smsy Google Calendar – jako nadawca jest po prostu . Działa to tak, że właściciel takiej bramki/nadawca wiadomości musi się dogadać bezpośrednio z każdym operatorem komórkowym, i ustalić hurtowe ceny za wysyłanie takich smsów…
Uf, pomogło mi się uspokoić. Moja mamuśka dziś do mnie wydzwaniała i pytała dlaczego do niej piszę smsy. Osoba pytała kim matka jest i skąd zna jej (tej osoby) numer.
Teraz podejrzewam parę osób o taką zabawę.
Dzięki!
[...] na myśl przychodzą wyłacznie ataki socjotechniczne, np. przy pomocy Spoofingu CallerID / SMS — ale to raczej przyda się Wojewódzkiemu i Figurskiemu, a nie przeciętnemu [...]
Artykuł ciekawy, szkoda tylko, ze przepadły niektóre obrazki…:
http://niebezpiecznik.pl/wp-content/uploads/2009/11/PhonyText%E2%84%A2-1.jpg
http://niebezpiecznik.pl/wp-content/uploads/2009/11/BLIP-Kokpit-uz%CC%87ytkownika-zbigniewholdys-450×304.jpg
[...] Pierwsza, podstawowa sprawa – skąd pochodzą dane pobierane przez skrypt i wstawiane na stronę? W tym przypadku dane pochodzą z blipa, skrypt pobiera statusy oznaczone tagiem #thrts. Ze specyfiki serwisu wynika, że autorem statusu może być każdy jego użytkownik. Jest to istotna różnica w stosunku, do sytuacji z wyświetlaniem mojego własnego statusu, którego autorem mogę być tylko ja, przynajmniej teoretycznie (przypomnę: Spoofing SMS, czyli fałszowanie nadawcy SMS-a). [...]
jest jakiś serwis po polsku ?
[...] została wysłana z numeru “PR@MOCJA”. Jak wiemy, istnieją bramki SMS-owe potrafiące spoofować numery nadawcy — można w nich ustawić dowolny tekst zamiast [...]
Jest sporo bramek smsc umożliwiających wysłanie sms wraz z “+” więc metoda jest do d. :)
w starych ericssonach jak dostawało się sms z netu to przychodziła koperta z małpką, a jak z telefonu to normalna kopertka.. nie wiem jak ten telefon to robił ale każdy fake sms rozpoznawał wyświetlając kopertę z małpka – to było long time ago
@łotysz: i uparcie twierdzisz, że znajdziesz taką bramkę, która poza umożliwieniem wstawienia znaku “+”, umożliwi jeszcze napisanie po niej 11 cyfr, tak? Daj namiary, bo nie wierzę. ;)
[...] jak sprawdzić, czy padliśmy ofiarą spoofingu CallerID w przypadku SMS-ów pisaliśmy w tekście Spoofing SMS, czyli fałszowanie nadawcy SMS-a. Jutro opublikujemy opis ochrony przed spoofingiem CallerID dla [...]
[...] P.S. Najprawdopodobniej handlowcy/telemarketerzy PLAY-a i tak mają dostęp do waszego hasła i jak się domyślacie, wcale nie potrzebują go do wprowadzenia “zmian” w waszych usługach. Także to nie pracowników PLAY’a powinniście się obawiać, a tych fałszywych phisherów podających się za pracowników PLAY’a — no właśnie, tylko jak ich odróżnić? Podobno oryginalni dzwonią tylko z numeru 790 500 500. Ale przecież phisherzy od dawna wiedzą jak spoofować numery telefonów komórkowych… [...]
Z http://sms-fake.com można wysyłać fake sms. Jest wersja w języku polskim. A testowe kredyty można już kupić za 2$ przez Paypal :) Pisałam do nich czy można kredyty kupić sms-em i podobno niebawem ma być taka możliwość. Stronka działa rewelacyjnie, zrobiłam mojej siostrze niezły kawał podszywając się pod jej chłopaka i zmieniając godzinę spotkania na wcześniejszą :)) Nawiązując do artykułu – znak plusa się pojawia przed numerem telefonu nadawcy jeśli wpisze się numer kierunkowy kraju np 48xxxxxxxxx otrzymamy smsa od +48xxxxxxxxx :) http://sms-fake.com wymiata :)
Fałszywe SMSy można bardzo łatwo “zidentyfikować” chociażby na podstawie numeru centrum wiadomości – jeśli numer ten jest inny niż naszego operatora to znaczy, że zachodzi bardzo wysokie prawdopodobieństwo iż otrzymana wiadomość jest fałszywa. Z tego co się orientuję to jedyna “domowa” metoda sprawdzenia wiarygodności wiadomości SMS. Jeżeli chodzi o nasz rodziny rynek tego typu usług to od ponad roku w sieci wisi smsator.pl (lub teraz http://smsator.eu) który za dość wygórowaną sumkę umożliwia wysyłkę podrobionych wiadomości…
Gdzieś już spotkałem się z powyższą stroną i coś podejrzana jest bo jak się klikało na linka to wyświetlało że domena została zablokowana z powodu podania nieprawidłowych danych podczas rejestracji. Skoro autor strony podaje fałszywe dane podczas rejestracji domeny to coś musi w tym być. Wolę jednak sprawdzone zagraniczne serwisy, cenowo wcale tak bardzo nie odbiegają a ma się większy zasięg możliwości no i pewność, że nie zostanę oszukany bo korzystam z serwisu, który na rynku jest o wiele dłużej. Nie byłbym co do tego smsatora przekonany zbytnio… ale każdy robi jak uważa :)
[...] Niebezpieczniku ostrzegaliśmy już przed fałszowaniem numeru nadawcy SMS-ów i możliwości umieszczania nieautoryzowanych wiadomości na serwisach społecznościowych, z [...]
Nie dochodzą smsy wysyłane przez http://sms-fake.com … :(
[...] czym polega atak? Oczywiście na przesłaniu SMS-a z podrobionym numerem nadawcy. SMS jest kierowany do aplikacji z SIM Toolkit i oczywiście nie przechodzi weryfikacji podpisu [...]
Smsy dochodzą, tylko polskie sieci wprowadziły zabezpieczenie i wysyłać można fejka tylko między różnymi sieciami dlatego http://sms-fake.com jest tymczasowo wyłączony dla Polski, dopóki nie wprowadzą stosownych poprawek ale wysyłać będzie można tylko np z numeru ery na plusa itp (miedzy różnymi sieciami) albo z nadawcy alfanumerycznego, między numerami tej samej sieci jest to zabezpieczone, sms-fake ma wprowadzić poprawki dopiero na prima aprilis, chociaż możliwe że odblokują wcześniej – taką wiadomość otrzymałem od administratorów
Cześć,
Ma ktoś jakiś pomysł jak takie coś jest robione? Chciał bym wykonać taki mój skrypt potrzebny do programu który na bieżąco informował by mnie o działaniach mojego programu ;) Kombinowałem coś z wysyłaniem mejla na fona (doszło raz do plusa o dziwo), ale to nic nie dało ;/ Jakieś pomysły?