SMS-спуфинг - это технология, использующая службу коротких сообщений (SMS), доступную на большинстве мобильных телефонов и персональных цифровых помощников , для определения того, от кого поступает сообщение, путем замены исходного номера мобильного телефона (идентификатора отправителя) буквенно-цифровым текстом. Спуфинг имеет как законное использование (установка названия компании, от которой отправляется сообщение, установка собственного номера мобильного телефона или названия продукта), так и незаконное использование (например, выдача себя за другое лицо, компанию, продукт). Он также может отправлять «загадочные» сообщения, которые выглядят так, как будто они поступают с законных номеров или контактов.
В США в 2019 году был принят новый закон, который был доработан через 6 месяцев, что сделало практически невозможным подделку текстовых сообщений https://www.fcc.gov/document/fcc-bans-malicious-spoofing-text-messages-foreign-robocalls
Как осуществляется SMS-спуфинг
SMS-спуфинг происходит, когда отправитель манипулирует адресной информацией. Часто это делается для того, чтобы выдать себя за пользователя, который вошел в чужую сеть и отправляет сообщения в домашнюю сеть. Часто эти сообщения адресованы адресатам за пределами домашней сети - при этом домашний SMSC по существу «перехватывается» для отправки сообщений в другие сети. В сложных случаях они могут даже захватить существующие контакты в телефоне. Другими словами, вы можете писать с любого номера, который хотите.
Воздействие этой деятельности тройное:
- В домашней сети может взиматься плата за завершение из-за доставки этих сообщений партнерам по межсетевому соединению.
- Эти сообщения могут беспокоить партнеров по межсетевому соединению. Их клиенты могут жаловаться на рассылку спама или содержание сообщений может быть политически чувствительным. Партнеры по межсетевому соединению могут угрожать отключением домашней сети, если не будут приняты меры. Домашние абоненты не смогут отправлять сообщения в эти сети.
- Хотя мошенники обычно использовали поддельные идентификаторы для отправки сообщений, существует риск того, что эти идентификаторы могут совпадать с идентификаторами реальных домашних абонентов. Таким образом, возникает риск того, что подлинным абонентам может быть выставлен счет за сообщения в роуминге, которые они не отправляли. В случае возникновения такой ситуации целостность процесса выставления счетов домашним оператором может быть нарушена, что потенциально может оказать огромное влияние на бренд.
Допустимые варианты использования SMS-спуфинга:
- Отправитель передает SMS-сообщение из онлайн-компьютерной сети для снижения конкурентоспособных цен и для упрощения ввода данных с полноразмерной консоли. Они должны подделать свой номер, чтобы правильно идентифицировать себя.
- У отправителя нет мобильного телефона, и ему нужно отправить SMS с номера, который он заранее предоставил получателю, чтобы активировать учетную запись.
- Отправитель использует идентификатор сетевого шлюза по умолчанию, предоставленный онлайн-службой, чтобы отправить анонимное SMS-сообщение, вместо того, чтобы указывать номер по своему выбору.
- Третья сторона отправляет сообщение на виртуальный номер, который затем пересылает (повторно отправляет) сообщение одному или нескольким получателям таким образом, что истинный адрес отправителя (а не виртуальный номер) отображается в качестве идентификатора отправителя и получателя (ов). ) может отвечать, звонить, сортировать, сохранять или иным образом обрабатывать сообщение ожидаемым образом.
Атака с использованием SMS-спуфинга часто сначала обнаруживается по увеличению количества ошибок SMS, обнаруженных во время выставления счета. Эти ошибки вызваны подделкой идентификаторов подписчиков. Операторы могут в ответ блокировать адреса разных источников в своих шлюзах- MSC , но мошенники могут легко изменить адреса, чтобы обойти эти меры. Если мошенники перейдут к использованию адресов источника у крупного партнера по межсетевому соединению, блокировка этих адресов может стать невозможной из-за потенциального воздействия на обычные услуги межсоединения.
Законность
В 2007 году британский регулятор премиальных тарифов PhonepayPlus (ранее ICSTIS) завершил публичные консультации по анонимным SMS, в которых заявили, что не прочь использовать такие услуги. Однако в 2008 году PhonePayPlus ввел новые правила, касающиеся анонимных SMS, требующие от поставщиков анонимных SMS-услуг отправлять последующее сообщение получателю о том, что им было отправлено поддельное SMS, а также пользоваться горячей линией для жалоб.
Летом 2019 года Конгресс США сделал практически незаконным и невозможным подделывать текстовые сообщения с помощью подделки приложений и веб-сайтов.
https://www.fcc.gov/document/fcc-bans-malicious-spoofing-text-messages-foreign-robocalls
Защита пользователей от SMS-спуфинга
Если пользователь может доказать, что его сеансы SMS были подделаны, ему следует обратиться как в правоохранительные органы, так и к своему оператору сотовой связи , которые должны иметь возможность отслеживать, откуда на самом деле были отправлены SMS-сообщения. Пользователь также может изменить настройки телефона, чтобы разрешать сообщения только с авторизованных номеров. Это не всегда эффективно, поскольку хакеры также могут выдавать себя за друзей пользователя.