10:33
4/11/2009

Kilka lat temu wszyscy zabawiali się wysyłając e-maile jako bill.gates@microsoft.com. Dziś, dla większości społeczeństwa szybka wymiana wiadomości kojarzy się raczej z SMS-ami, a nie pocztą elektroniczną. Niestety, nowe protokoły komunikacji wykorzystywane w sieciach GSM są tak samo podatne na ataki jak stary i wysłużony SMTP. Dziś przyjrzymy się fałszowaniu pola nadawcy w SMS-ach i zagrożeniom, które z tego wynikają. Nauczymy się też, jak rozpoznawać fałszywe SMS-y.

Jak sfałszować pole nadawcy w SMS?

Najprościej będzie skorzystać z jednej z internetowych bramek. Praktycznie żadna nie udostępnia już darmowych usług, ale nie są one specjalnie drogie. Po wykupieniu kredytu uzyskujemy dostęp do formularza, który zazwyczaj wygląda tak:

Bramka służąca do fałszowania numeru nadawcy SMS-a

Bramka służąca do fałszowania numeru nadawcy SMS-a

Jako nadawcę SMS-a możemy wybrać numer (od 5 do 16 cyfr). Efekt?

Fałszywy SMS z numeru 12345

Fałszywy SMS z numeru 12345

Formatowanie numeru zostało wykonane automatycznie przez telefon. Warto pamiętać, że jeśli wyślemy SMS-a z numeru, który odbiorca posiada w swojej książce kontaktowej, to w większości przypadków zostanie on zastąpiony nazwą kontaktu (co tylko dodaje wiarygodności naszej wiadomości).

Jako nadawcę można też podać dowolny ciąg znaków (do 11 liter). Jeśli wpiszemy “TVN”, to otrzymamy wiadomość od “TVN”… Poniżej SMS wysłany z nadawcą ustawionym na “vicurry”:

Podgląd fałszywego SMS-a

Podgląd fałszywego SMS-a

Ataki (smishing i groźby)

Należy pamiętać o tym, że wysyłając SMS-y z fałszywym nadawcą nie mamy kanału zwrotnego (wszelkie próby odpowiedzi ofiary na naszego SMS-a zostaną przekazane oryginalnemu właścicielowi numeru, a nie nam). Stąd, wszystkie ataki polegają głównie na skłonieniu ofiary do wykonania jakiejś czynności (phishing, groźby).

Podszywając się pod numer dyrektora technicznego można np. nakazać pracownikowi działu IT otwarcie portu na firmowym firewallu. Udając bliską ofierze osobę można prosić o przelanie pieniędzy na wskazany w SMS-ie numer konta… Wreszcie, można wysłać sobie samemu SMS-a z numeru szefa (żony), zawierającego informację o podwyżce (zaproszenie na kolację), a następnie stanowczo żądać spełnienia obietnicy ;-)

Kradzież tożsamości w serwisach internetowych

Osobną grupą ataków jest możliwość kradzieży tożsamości i publikowanie treści w imieniu innego użytkownika na jednym z serwisów internetowych, na którym atakowany użytkownik ma konto (o ile serwis pozwala na dodawanie treści poprzez SMS/MMS). W Polsce będą to: Nasza-Klasa, Blip i Flaker (oraz zapewne wiele innych). Jeśli użytkownik serwisu posiada skojarzony z nim numer telefonu, to wysłanie podrobionego SMS-a na numer dostępowy serwisu spowoduje zaktualizowanie treści w profilu ofiary. Serwis myśli, ze autorem SMS-a jest jego użytkownik (a nie bramka).

Jeśli znasz numer tel. Zbigniewa Hołdysa, możesz zapostować coś na jego Blipie...

Jeśli znasz numer tel. Zbigniewa Hołdysa, możesz zapostować coś na jego Blipie...

Wiele z polskich serwisów do tej pory nie jest zabezpieczonych przed tym atakiem. Jedną z metod ochrony jest wymóg podania w treści SMS-a, oprócz wiadomości do serwisu, także sekretnego hasła, które wybiera użytkownik. Zachodnie portale (np. Twitter, czy Facebook) od dawna korzystają z podobnych sposobów ochrony SMS spoofingiem.

Spoofing SMS jako prezent dla dzieci?

Są też “dobre” ataki: możliwość modyfikacji nadawcy SMS-a można wykorzystać do zrobienia dzieciom prezentu na święta (wysyłając SMS-a z życzeniami od “Sw. Mikolaj“). Niestety, jak pokazuje życie, osoba która korzysta z w/w bramek ma z reguły złe intencje — dlatego warto wiedzieć, jak rozpoznać atak.

Obrona przed fałszywymi SMS-ami

Rozpoznanie fałszywego SMS-a wymaga odrobiny pracy. W pierwszym kroku musimy usunąć z kontaktów osobę od której otrzymaliśmy “podejrzanego” SMS-a. Aby móc wykryć fałszerstwo, telefon powinien pokazywać w polu “Od” numer, a nie nazwę z książki kontaktowej.

Jeśli numer nie zaczyna się od znaku “+” możemy być pewni, że nadawca SMS-a został podrobiony. Większość bramek internetowych nie pozwala bowiem na wpisanie fałszywego numeru ze znakiem + na początku. Długość ciągu znaków, który możemy podać, ograniczona jest z reguły do 11 znaków. To uniemożliwia wpisanie takiego numeru: +48666123456, natomiast numer 48666123456 przejdzie bez problemu i co więcej, zostanie dopasowany do odpowiedniej osoby z naszej książki kontaktów (telefony potrafią dopasować numery do osób już po kilku ostatnich cyfrach).

W trakcie spraw sądowych, weryfikacja SMS-a nie opiera się jedynie na przebadaniu telefonu ofiary. Sprawdza się również telefon domniemanego nadawcy (skrzynkę nadawczą) oraz logi po stronie operatora. W związku z tym (i na szczęście), bardzo ciężko jest “wrobić” kogoś za pomocą SMS spoofingu. Ale czy to oznacza, że możemy spać spokojnie…?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

49 komentarzy

Dodaj komentarz
  1. Widzę, że niedawno powstał serwis. Już was dodałem na blipie i w rssach także. Podoba mi się to, iż nie zamieszczacie 666 newsów o byle czym, albo opisanych w kilku zdaniach, tylko tak jak jest teraz. Czyli nie przesadzać z aktualizacją, ale stawiać na jakość. Jestem z wami :D!

  2. Haha wczoraj o tym blipnąlem czy to kogos jeszcze dziwi ;p

    A swoja droga korzystam z tego samego serwisu co wykorzystałeś do arta.

  3. Swoja droga ubiegleś mnie z tematem ;p mozesz arta jeszcze uzupelnic o spoofowanie nadawcy rozmowy przychodzacej…

  4. @Czachol: myślę, że nie pokrzyżuję planów vi.currego, jeśli zdradzę, że temat spoofingu CallerID czeka w kolejce do publikacji ;)

  5. Podrabiane SMS-y istnieją już od ładnych kilku lat (5?). Pamiętam, że w nokiach (od dłuższego czasu używam innej marki i niestety nie ma tej opcji) w detalach SMS-a było podane “centrum wiadomości” (lub podobnie). Po tym też można było bardzo łatwo rozpoznać.

  6. Hmmm co do fabrykowania nadawcy maili, chodzi o serwery SMTP, które nie wymagają autoryzacji adresu nadawcy? czy może o jakiś inny (nieznany mi sposób)?

    • Autoryzacja do SMTP zapewnia że losowy spamer nie będzie mógł wykorzystać serwera do spamowania, ale w żadnym wypadku nie zabezpiecza przed spoofing-iem maila, czyli podaniem innego adresu e-mail nadawcy niż np. użyty do autoryzacji SMTP. Większość serwerów SMTP przepuści bowiem mail-a z adresem nadawcy innym niż zalogowany użytkownik. Sprawdź też: SPF, DKIM, DMARC.

  7. A co z serwisem SMS PKO/Inteligo?
    Jako nadawca podane jest “Inteligo”.

    Liczylem na opis metody a nie link do bramki…

    • zamiast bawic sie w lewe sms do ktorych itak dojda po twoim ip. wez kominiare, gaz ,pret do podparcia i zalatw to normalnie

  8. Piotr: Autorowi artykułu raczej chodziło o to, żeby wyjaśnić jak rozpoznać taki żart/atak i się przed nim uchronić, a nie ułatwiać atakowanie :P

  9. Ale zeby sie lepiej sie obronic lepiej znac metode “ataku” :).

  10. @Piotr: Tak samo wysyła smsy Google Calendar – jako nadawca jest po prostu Google. Działa to tak, że właściciel takiej bramki/nadawca wiadomości musi się dogadać bezpośrednio z każdym operatorem komórkowym, i ustalić hurtowe ceny za wysyłanie takich smsów…

  11. Uf, pomogło mi się uspokoić. Moja mamuśka dziś do mnie wydzwaniała i pytała dlaczego do niej piszę smsy. Osoba pytała kim matka jest i skąd zna jej (tej osoby) numer.
    Teraz podejrzewam parę osób o taką zabawę.
    Dzięki!

  12. […] na myśl przychodzą wyłacznie ataki socjotechniczne, np. przy pomocy Spoofingu CallerID / SMS — ale to raczej przyda się Wojewódzkiemu i Figurskiemu, a nie przeciętnemu […]

  13. […] Pierwsza, podstawowa sprawa – skąd pochodzą dane pobierane przez skrypt i wstawiane na stronę? W tym przypadku dane pochodzą z blipa, skrypt pobiera statusy oznaczone tagiem #thrts. Ze specyfiki serwisu wynika, że autorem statusu może być każdy jego użytkownik. Jest to istotna różnica w stosunku, do sytuacji z wyświetlaniem mojego własnego statusu, którego autorem mogę być tylko ja, przynajmniej teoretycznie (przypomnę: Spoofing SMS, czyli fałszowanie nadawcy SMS-a). […]

  14. jest jakiś serwis po polsku ?

  15. […] została wysłana z numeru “PR@MOCJA”. Jak wiemy, istnieją bramki SMS-owe potrafiące spoofować numery nadawcy — można w nich ustawić dowolny tekst zamiast […]

  16. Jest sporo bramek smsc umożliwiających wysłanie sms wraz z “+” więc metoda jest do d. :)
    w starych ericssonach jak dostawało się sms z netu to przychodziła koperta z małpką, a jak z telefonu to normalna kopertka.. nie wiem jak ten telefon to robił ale każdy fake sms rozpoznawał wyświetlając kopertę z małpka – to było long time ago

  17. @łotysz: i uparcie twierdzisz, że znajdziesz taką bramkę, która poza umożliwieniem wstawienia znaku “+”, umożliwi jeszcze napisanie po niej 11 cyfr, tak? Daj namiary, bo nie wierzę. ;)

  18. […] jak sprawdzić, czy padliśmy ofiarą spoofingu CallerID w przypadku SMS-ów pisaliśmy w tekście Spoofing SMS, czyli fałszowanie nadawcy SMS-a. Jutro opublikujemy opis ochrony przed spoofingiem CallerID dla […]

  19. […] P.S. Najprawdopodobniej handlowcy/telemarketerzy PLAY-a i tak mają dostęp do waszego hasła i jak się domyślacie, wcale nie potrzebują go do wprowadzenia “zmian” w waszych usługach. Także to nie pracowników PLAY’a powinniście się obawiać, a tych fałszywych phisherów podających się za pracowników PLAY’a — no właśnie, tylko jak ich odróżnić? Podobno oryginalni dzwonią tylko z numeru 790 500 500. Ale przecież phisherzy od dawna wiedzą jak spoofować numery telefonów komórkowych… […]

  20. Z http://sms-fake.com można wysyłać fake sms. Jest wersja w języku polskim. A testowe kredyty można już kupić za 2$ przez Paypal :) Pisałam do nich czy można kredyty kupić sms-em i podobno niebawem ma być taka możliwość. Stronka działa rewelacyjnie, zrobiłam mojej siostrze niezły kawał podszywając się pod jej chłopaka i zmieniając godzinę spotkania na wcześniejszą :)) Nawiązując do artykułu – znak plusa się pojawia przed numerem telefonu nadawcy jeśli wpisze się numer kierunkowy kraju np 48xxxxxxxxx otrzymamy smsa od +48xxxxxxxxx :) http://sms-fake.com wymiata :)

  21. Fałszywe SMSy można bardzo łatwo “zidentyfikować” chociażby na podstawie numeru centrum wiadomości – jeśli numer ten jest inny niż naszego operatora to znaczy, że zachodzi bardzo wysokie prawdopodobieństwo iż otrzymana wiadomość jest fałszywa. Z tego co się orientuję to jedyna “domowa” metoda sprawdzenia wiarygodności wiadomości SMS. Jeżeli chodzi o nasz rodziny rynek tego typu usług to od ponad roku w sieci wisi smsator.pl (lub teraz http://smsator.eu) który za dość wygórowaną sumkę umożliwia wysyłkę podrobionych wiadomości…

  22. Gdzieś już spotkałem się z powyższą stroną i coś podejrzana jest bo jak się klikało na linka to wyświetlało że domena została zablokowana z powodu podania nieprawidłowych danych podczas rejestracji. Skoro autor strony podaje fałszywe dane podczas rejestracji domeny to coś musi w tym być. Wolę jednak sprawdzone zagraniczne serwisy, cenowo wcale tak bardzo nie odbiegają a ma się większy zasięg możliwości no i pewność, że nie zostanę oszukany bo korzystam z serwisu, który na rynku jest o wiele dłużej. Nie byłbym co do tego smsatora przekonany zbytnio… ale każdy robi jak uważa :)

  23. […] Niebezpieczniku ostrzegaliśmy już przed fałszowaniem numeru nadawcy SMS-ów i możliwości umieszczania nieautoryzowanych wiadomości na serwisach społecznościowych, z […]

  24. Nie dochodzą smsy wysyłane przez http://sms-fake.com … :(

  25. […] czym polega atak? Oczywiście na przesłaniu SMS-a z podrobionym numerem nadawcy. SMS jest kierowany do aplikacji z SIM Toolkit i oczywiście nie przechodzi weryfikacji podpisu […]

  26. Smsy dochodzą, tylko polskie sieci wprowadziły zabezpieczenie i wysyłać można fejka tylko między różnymi sieciami dlatego http://sms-fake.com jest tymczasowo wyłączony dla Polski, dopóki nie wprowadzą stosownych poprawek ale wysyłać będzie można tylko np z numeru ery na plusa itp (miedzy różnymi sieciami) albo z nadawcy alfanumerycznego, między numerami tej samej sieci jest to zabezpieczone, sms-fake ma wprowadzić poprawki dopiero na prima aprilis, chociaż możliwe że odblokują wcześniej – taką wiadomość otrzymałem od administratorów

  27. Cześć,
    Ma ktoś jakiś pomysł jak takie coś jest robione? Chciał bym wykonać taki mój skrypt potrzebny do programu który na bieżąco informował by mnie o działaniach mojego programu ;) Kombinowałem coś z wysyłaniem mejla na fona (doszło raz do plusa o dziwo), ale to nic nie dało ;/ Jakieś pomysły?

  28. Ma ktos info o dzialajacej stronce z ktorej mozna wyslac takiego sms

  29. […] bezpieczeństwa PIN-u jaki ustawiłeś na wejściu do poczty głosowej. Atakujący bowiem może zespoofować twój numer telefonu i odsłuchać twoją […]

  30. […] czyli spoofing SMS-ów to nie nowość. Podobny atak “podszywania się pod nadawcę SMS-a” nie dość, że […]

  31. Sfałszowane pole nadawcy jest szczególnie niebezpieczne dla przedsiębiorców. Szczególnie, gdy korzystają z SMS-ów, aby przesłać swoim klientom dodatkowe promocje lub oferty specjalne.
    Dlatego przy planowaniu kampanii SMS warto zastanowić się nad wykorzystaniem profesjonalnej bramki SMS. Na przykład na platformie SMS API, aby móc korzystać z przypisanego pola nadawcy należy przedstawić zaświadczenia, że jest się właścicielem danej nazwy. W ten sposób wykluczamy możliwość podszywania się pod znane marki.

  32. […] się, że każda aplikacja zainstalowana na Androidzie może fałszować SMS-y. Na szczęście chodzi o wiadomości przychodzące, więc problem nie jest tragiczny w […]

  33. […] proszę, ktoś “odkrył na nowo” to, o czym my pisaliśmy już w 2009 i pokazywaliśmy ten atak na przykładzie Blipa. Ten ktoś zrobił z tego duży szum medialny, specjaliści od Kaspersky’ego dali się […]

  34. Spoofing SMS jest legalny w naszym kraju? Pytam ponieważ raz na jakiś czas dostaję SMS od m. in. “Anny Kosak” z propozycją kredytu itp. (ostatnio (kilka minut temu) proponowała lumie za 50 zł).

  35. […] w wyraźny sposób) — wymuszenie braku szyfrowania pozwala IMSI Catcherowi podsłuchiwać lub spoofować rozmowy i SMS-y oraz transmisję pakietową telefonu […]

  36. […] tj. Safari — w całości i Chrome — dany tab), ale wspomniane znaki można także przesłać SMS-em na iPhone’a, mailem do aplikacji Mail.app lub ustawić w nazwie sieci Wi-Fi i poczekać, aż […]

  37. Kolejny dowód na to, ze w wirtualnym świecie nikt nie jest w 100% bezpieczny :/ Ciekawe jak to wygląda od strony prawnej, tzn. czy można pozwać kogoś za podszycie się pod cudzy nr telefonu. Napewno karalne jest ‘wykorzystanie cudzej tożsamości’- jak to się fachowo nazywa – np. na facebooku czy innym serwisie społecznościowym, ale czy nr telefonu to element tożsamości taki, jak imię czy nr pesel?

  38. […] najszybciej wyłączyć pocztę głosową — czasem znajomość numeru telefonu wystarczy, aby za pomocą odpowiedniego oprogramowania móc odsłuchać nagrania na skrzynce głosowej należącej do tego numeru. A co tam znaleźć […]

  39. […] trochę by ich kosztowało, biorąc pod uwagę wysyłanie ich do Polski). Najprawdopodobniej SMS-y mają sfałszowany numer nadawcy (kilka lat temu opisywaliśmy na Niebezpieczniku odpowiednie internetowe bramki SMS-owe, które […]

  40. Proszę o pomoc. ktoś wysyłał do mnie obleśne smsy. Sprawa znalazła się w prokuraturze i namierzyli własciciela telefonu. Okazało się, ze sąsiad z sąsiadniej wsi. jednak po rozmowie z nim okazało się, że on o niczym nie wie. Treść tych smsów także na to wskazywała (nie mógł znać pewnych szczegółów z mojego życia, o których była mowa w smsach). Poczytałam już o mozliwości podrobienia numeru telefonu, jednak jest jeden problem, ja odpisywałam na część tych smsów nadawcy (żeby go jakoś zidentyfikować, albo żeby się jakoś zdradził) i on mi zaraz odpisywał. A więc otrzymywał moją odpowiedź zwrotnie. jak już pisałam namierzony własciciel nic o tym nie wie, więc korespondowałam z fałszerzem, a to podobno nie jest mozliwe, czy już jest? proszę o podpowiedź jak to można ustalić, jesli ktoś coś wie na ten temat. czy mogła to zrobić osoba mająca np. jakis nietypowy dostęp do sieci, np. pracująca w telefonii? Pozdrawiam, magda

  41. Po co “telefony potrafią dopasować numery do osób już po kilku ostatnich cyfrach” ?

  42. Tutaj masz lek na brak polskich numerów https://www.proovl.com/numbers można wysyłać fake sms

  43. […] Złodzieje dzwonią do Ciebie z prawdziwego numeru Twojego banku i prawie zawsze maja ukraiński akcent. Numer jest prawdziwy, bo pod numery telefonów można się podszyć. […]

  44. […] dzwonią z prawdziwych numerów banków, komisariatów, itp. (a dokładnie, to te numery spoofują). […]

  45. […] Od kilku dni otrzymujemy zapytania od różnych redakcji w sprawie tzw. spoofingu, czyli podrabiania połączeń telefonicznych. Wszystko za sprawą dziesiątek połączeń wykonywanych przez podszywacza do polityków i ich rodzin. Problem spoofingu wreszcie stał się tematem ważnym, choć ten proceder trwa od dawna. Od dwóch lat regularnie dzięki spoofingowi przestępcy okradają Polaków na miliony, a po raz pierwszy o spoofingu informowaliśmy na Niebezpieczniku 13 (!!!) lat temu… […]

  46. […] im tego linka albo tego albo […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: