web-dev-qa-db-ja.com

SMSメッセージに返信する際にセキュリティ上のリスクはありますか?

見たところ無害のように見えるSMS不明な人からのメッセージを日常的に受け取ります。これらは通常、「こんにちは」、「こんにちは」、「あなたはいますか?」のように簡単です。これは週に数回発生し、確かに、私に返信してもらうための、ある種の組織化された継続的な努力のように思われることがよくあります。なぜ誰か(または数人)がそのようなメッセージを送信するのを邪魔するのかを理解しようとしています。

これは既知のハッキング/フィッシング手法ですか?もしそうなら、SMSメッセージを送信するだけで誰かが入手できる有用な情報、および受信者が返信した場合に判断できる情報はありますか(個人情報やセキュリティ情報が応答)?

66
Caleb

一部の電話またはSMS番号では、電話プロバイダーによって自動的に回収され、番号の所有者に差し戻される追加料金が可能です。これは、主に(合法的に)各参加者が参加する一部のテレビゲームで使用されますpays特別な番号に電話をかけたりSMSを送信したりするときに少額のお金。最後に、プレーヤーの1人が何かを稼ぐか、参加者の回答が選挙に使用されました(選挙の失敗など) 。

したがって、あまり良くない会社がそのようなシステムをセットアップして、そのような過充電された番号への応答を要求する大量のSMSを送信し、オプションでそれが過充電されていると言うことを省略できます...大量送信のコストSMSは低いので、許容できる返品率が得られれば、それでいくらかお金を稼ぐことができます。

あなたがそれを知っていて、喜んで過充電のSMSを送信して、今年の歌の選挙に参加する場合、問題はありません。しかし、SMS友人から来たふりをして、単純な以上の支払いをすることになりますSMSそれは強盗です。

しかし、この種の会社は海外に身を隠すか、お金を取り戻すとすぐに消えるので、過大請求されたSMSを決して送らない方がはるかに良いです。

77
Serge Ballesta

攻撃者が収集できる1つの便利なことは、1日のさまざまな時間における応答時間と、睡眠スケジュールなどです。ジョギングや瞑想のクラスに行くときに携帯電話を家に置いたままにしておくと、他のエンティティがあなたにすぐに連絡できない可能性がある時間を特定できる場合があります。これにより、攻撃者はあなたまたはあなたの雇用主を攻撃するのに最適なタイミングを知ることができます。つまり、応答時間にも価値があります。

次に役立つのは、使用する単語と非常に個人的なフレーズです。「ありがとう」、「乾杯」、「平安」、「良い1日を」などは、攻撃者がフィッシングキャンペーンの電子メールを偽造するのに役立つ可能性があります。実際に会話で使用するテキストとまったく同じです。

その後、ターゲットOSの識別があります。簡単に言えば、これらを送信する人がAppleの iMessage プロトコルをサポートするデバイスを使用している場合、ほとんどの場合、あなたの電話がiMessageをサポートしているかどうかを知ることができます。攻撃者がお使いの携帯電話のベースOSをiOS(iMessageがサポートされている)またはAndroid /その他(iMessageがサポートされていない)である。これは絶対的なものではありませんが、多数のターゲットからこの情報を収集している場合は、ほとんどが正確なデータになります。

会話の目的で少し危険であり、できれば非現実的な例です。銀行がファイルの電話番号からの単純なYまたはN応答を介して電信送金を認証した場合、SMSアプリケーションSMSは、銀行の実際の発信元の電話番号と一致するなりすましのVoIP番号から作成できます。

攻撃者が正しく時間を計ることができる場合(これも非現実的な例です)、攻撃者はいくつかの偽のテキストを開始して午後3時頃の平均テキスト応答速度を決定し、「Y」を探してタイミングの良い質問を送信しますまたは、なりすまし銀行番号に返送される「N」応答。

一言で言えば、「セクシーなパンダのスーツを着た私の画像を見たいですか? 'Y'または 'N'?

そして、その応答は、「ハッカーランドの国立銀行に$ 10,000.00を送金する要求が要求されました。この要求を承認しますか?「Y」または「N」で応答しますか?」に対する応答になります。銀行のアプリのソース番号になりすましたテキストに返信するという性質上。

これも架空の例ですが、安全でないSMS一部の国のシステムといくつかの恐ろしく書かれたシステムを組み合わせたもので、ユーザーSMS可能性があります。

アーキテクチャ的にSMSはセキュリティが懸念される前に構築されたもので、セキュリティコントロールはほとんどありません。便利ですが、電信送金の承認などの信頼性の高いアプリケーションには使用しないでください。

面白そうに見えても、技術的にこの人物/エンティティのデータを提供しています。それらが悪意のあるものであり、あなたまたはあなたの雇用主が有用な標的である場合、応答しないか、iMessageの場合はメッセージを開いたり確認したりすることも賢明かもしれません。

現在、多くの組織が悪いことを大規模に行っています。これは簡単に大規模な偵察活動の一部になる可能性があります。

おそらく有用な参照: https://en.wikipedia.org/wiki/SMS_spoofing

33
Trey Blalock

同様の問題がありましたが、SMS=のコンテンツをグーグル検索し、デマであることがわかりました。プロバイダーに電話をかけたところ、SMSでメッセージに応答すると、通常のSMS価格。悪意のある送信者は、あなたに電話をかけて彼らが誰であるかを見つけることを目的としています。そうすると、あなたは過大請求されます。

他の回答でも説明されているように、SMSを介して応答する場合でも課金される可能性があるため、特にメッセージのように短い場合は、不明な番号からのメッセージには応答しないことがベストプラクティスだと思いますあなたは彼らが誰であるかを説明していないと理解しているようです

6
papakias

他の回答でカバーされていないものは、これらのようなメッセージは、電話番号がまだアクティブであるかどうかを確認するために一般的に使用されます。メッセージが [〜#〜] smsc [〜#〜] に送信されるため、GSMの優れた点は、受信者と同時にネットワークに接続する必要がないことです。 「 保存して転送 」というメカニズムを利用します。したがって、SMSメッセージの使用は、メッセージの配信を保証するだけでなく、ほとんどの人がそれを使用するため、個人と通信する魅力的な手段です。

メッセージを送信する人は悪意がないかもしれませんが、あなたの特定の番号または個人としてのあなたについて収集したデータを販売する可能性があります。この種の活動に特化した犯罪組織があり、そのような活動を行うことで利益を得ることができます。大量のSMSメッセージを送信する目的は、応答を試みることを奨励することです。おそらく、応答を検討しているところまで、このような大量のメッセージを受信することに煩わされています。メッセージについては、無視することをお勧めします。

それでは、なぜデータがx、y、またはzに販売されているかを気にする必要がありますか?まあ、データを誰が販売し、誰に販売しているのかわからないという単純な事実についてです。メッセージに返信しないと、データの価値が低くなり、組織や個人がデータを購入する可能性が低くなります。 SMSメッセージに返信する人はそうしない人よりもフィッシングの標的として魅力的です。

したがって、最初のメッセージへの返信はほとんど影響がないように見えるかもしれませんが、電話番号がアクティブであると見なされるため、将来により多くのメッセージをトリガーする可能性があります。この後、より多くのSMSメッセージを受信し始めます。これはフィッシング技術を使用します。

これと同様に、SMSメッセージに返信することもGSMスニッフィングに役立ちますが、これは、電話が使用している暗号化アルゴリズムなどの多くの要因に依存します。

最終的に組織があなたの番号を非アクティブであると判断したり、スパムではなく利益としてコストを確認したりするため、メッセージを無視することはあなたの最善の利益になります。

5
Us3rname