我通常会收到来自陌生人的看似无害的SMS消息。它们通常很简单,例如“嗨”或“你好”或“你在吗?”。这种情况每周发生几次,并且肯定经常发生,以至于似乎是某种有组织的,持续不断的努力让我回复。我试图理解为什么有人(或几个人)会不愿意发送此类消息。

这是已知的黑客/网络钓鱼技术吗?如果是这样,是否有人可以通过发送SMS消息来获得有用的信息,以及可以确定收件人是否答复(假设他们在答复中不包含任何个人或安全信息)?

评论

至少,它告诉潜在的骗子该电话号码是(1)有效,并且(2)由愿意交流的人拥有。这为各种社会工程攻击打开了大门。
即使您不回复,也可以验证@tonysdg(1)。
当您说别人时,我们是在谈论几个未知数字,分别是五个,十五个?您持有这个号码多久了?可能是有人错误地将您的电话号码给了他们的朋友,而这是数字掉了,或者您继承了以前属于其他人的电话号码。发送消息的数字范围的模式,来自相同数字和内容的重复消息将倾向于支持或反驳此消息。
@pwdst不,我们不是在谈论偶尔的错误号码。它们太频繁了(也许每周3到8个之间),而且过于一致(“ Hi。”)平淡无奇,这恰好是巧合-感觉就像是精心策划的努力。
您会给很多电话号码吗?填写表格,在帐户上设置吗?

#1 楼

某些电话或SMS号码会收取额外的费用,您的电话提供商会自动收取这些费用,并将其转回给该号码的所有者。这主要(合法)用于某些电视游戏,其中每个参与者在拨打特殊号码或发送短信时都需要支付少量钱。最后,要么其中一名玩家赚了钱,要么使用参与者的答案进行选举(例如,错过选举)。

所以一家不太好的公司可以建立一个像并发送大量短信,要求对这样收费过高的号码进行回复-并有可能忽略说收费过高...大量发送短信的成本很低,因此,如果他们获得可接受的退货率,他们将获得一定的回报有了钱。

当您意识到这一点,并愿意发送多收的短信以参加年度歌曲的选举时,一切都很好。但是,当您收到一条SMS时,假装是从朋友那里来的,并最终付出了比简单SMS更高的价格。这是抢劫。

但是,由于这类公司藏在国外或在您收回时就消失了要收回您的钱,最好不要向他们发送任何收费过高的短信。

评论

好答案。我认为在许多地方都可以使用电话号码的类型来查看是否是这种情况。至少在我住的地方,这些号码不是以普通私人电话号码所使用的数字开头。

–安德斯
17 Mar 3 '17 at 8:49
值得注意的是:我不认为iPhone会这样做,但是当您尝试响应消息警告您可能会花更多钱时,我的Android会显示一个对话框。那救了我几次。

– Sam Weaver
17 Mar 3 '17 at 13:17


@SamWeaver这是内置文件还是我可以下载的应用程序?它对捷克数字有效吗?

– John Dvorak
17 Mar 4 '17 at 12:32
@SamWeaver:不确定它是否不是来自手机提供商。例如,我的公司手机拒绝所有拨打收费电话的电话。它是合同的参数。

– Serge Ballesta
17 Mar 4 '17 at 17:03


我会说(合法)而不是(正确)

– njzk2
17 Mar 6 '17 at 4:36


#2 楼

攻击者可能会收获的一件事是,您一天中的不同时间的响应时间以及诸如睡眠计划之类的东西。如果您在慢跑或冥想课时将手机留在家中,他们可能会确定其他实体可能无法快速联系到您的时间。这可以使攻击者知道何时最好地攻击您或您的雇主。因此,是的,即使响应时间也很有价值。

接下来可能有用的是您使用的词和个人短语,例如“再次感谢”,“欢呼”,“和平”或“度过美好的一天”之类的内容可能会帮助攻击者伪造-用于网络钓鱼活动的电子邮件,其外观与您在对话中实际使用的文本完全相同。

之后,有目标操作系统标识。简而言之,如果向您发送这些邮件的人使用的是支持Apple iMessage协议的设备,则在大多数情况下,他们将能够查看您的电话是否支持iMessage消息,或者很有可能告诉攻击者您电话的基本操作系统为是iOS(支持iMessage)或Android /其他(不支持iMessage)。这绝不是绝对的,但是如果他们从大量目标中收集此信息,则大多数情况下将是准确的数据。

如果银行要通过简单的Y或N响应来验证电汇,而对于他们的书面SMS申请来说,这是一个比较危险且不切实际的示例,那么该记录来自于电话号码可以通过与银行真实来源电话号码相匹配的欺骗性VoIP号码来制作。

如果攻击者可以正确安排时间(同样是不现实的示例),他或她可以向您发起一些假文本以确定您的平均文本响应速度,直到下午3点左右,然后向您发送通知。定时问题,寻找“ Y”或“ N”响应,然后将其发送回欺骗的银行号码。

简而言之,您会被问到一些荒谬的信息:“您想穿着性感的熊猫服看到我的照片吗?'是'或'否'?

,该回复成为对“已要求将10,000.00美元电汇至国家黑克兰银行,您是否批准此请求?回复“ Y”或“ N”?”的本质是,您将伪造的文本回复到银行应用程序的源编号。

同样,这是一个虚构的示例,但不安全的组合在某些国家/地区,SMS系统与一些可怕的书面系统相结合,可能使用户的SMS输入类似的内容成为可能。

建筑学SMS是在关注安全性之前构建的,它几乎没有安全控件可言

尽管它看起来很有趣,但从技术上讲,您还是在提供此人/实体数据。如果它们恰好是恶意的,您或您的雇主是有用的目标,明智的做法是不响应,或者在iMessage的情况下甚至打开/确认消息。

许多组织现在正在大规模做坏事。这很容易是大规模侦察工作的一部分。

Po有用的参考资料:
https://en.wikipedia.org/wiki/SMS_spoofing

评论

虽然攻击场景很有趣,但最初的想法需要持续的对话。因为“ Y”和“ N”场景都需要相当快速的响应(在合法消息通过之前),并且您可以被操纵为以所需格式响应。因此,在可行的情况下,如果文本可能被误导了,大概对一个数字回答“对不起,我认为您输入的数字有误”似乎是安全的?

– pwdst
17 Mar 3 '17 at 17:42

#3 楼

发生了类似的问题,但通过Google搜索了SMS的内容,发现这是一个骗局。我打电话给我的提供商,他们告诉我,如果您通过短信回复该消息,则需要支付正常的短信价格。恶意发件人旨在让您给他们回电,以查找他们是谁,然后您被多收。

不过,正如其他答案所述,即使通过短信应答,您也可能会被收取费用,因此我认为最好的做法是不应答来自未知号码的任何消息,尤其是当它们短于您的消息时似乎得到而不是夸大他们是谁

#4 楼

诸如此类的消息通常未用于其他答案中,这些消息通常用于检查电话号码是否仍处于活动状态。您会看到GSM的优点在于,您不必与接收者同时连接到网络,因为消息是通过使用称为“存储和转发”的机制发送到SMSC的。因此,使用SMS消息是与个人进行通信的一种有吸引力的方式,因为它不仅可以保证消息的传递,而且几乎每个人都可以使用它。

即使发送消息的人可能没有恶意因此,他们很可能会出售他们可以收集的有关您的特定号码或/和您个人的任何数据。有专门从事这类活动的犯罪组织,他们可以从开展此类活动中受益。发送大量SMS消息的目的是试图鼓励您做出响应,您可能会因为收到如此多的消息而感到烦恼,以至于您正在考虑对消息进行响应,我现在建议您只需忽略消息即可。

那么,为什么要关心是否将数据出售给x,y或z?好吧,因为您不知道谁在卖数据以及他们在卖谁。通过不回复消息,使您的数据看起来不那么有价值,因此组织/个人购买您的数据的可能性较小。这并不是说他们不会,但是在我眼中,答复SMS消息的人比未答复的人更有吸引力。

因此,即使回复初始消息似乎没有多大影响,但由于您的电话号码将被激活,因此将来可能触发更多消息。此后,您将开始接收更多使用网络钓鱼技术的SMS消息。

不仅如此,回复SMS消息还可以帮助进行GSM嗅探,但这取决于许多因素,例如您的手机使用的加密算法。

这将是您的最大利益。忽略这些消息,因为最终组织可能会确定您的电话号码无效,或者将垃圾邮件发送给您是成本而不是收益。

评论

有关降低我的答案的解释将不胜感激。谢谢!

–Us3rname
17 Mar 5 '17 at 8:50