Подмена номера звонящего и отправителя SMS

Друзья, всех приветствую! В этой статье я хочу рассказать о подмене номера отправителя СМС и о подмене номера звонящего, более известных в интернете, как senderid spoofing и callerid spoofing.

SenderID Spoofing мы можем видеть очень часто: когда при создании аккаунта мы вводим номер телефона, то нам приходит смска, часто от имени компании где мы заводим аккаунт.

CallerID Spoofing встречается реже, но клиенты сбербанка могут помнить, что с номера 900 им может позвонить бот.

Подмена сообщений

Разберем метод подделки отправителя, мы сможем отправлять SMS от имени компаний в несколько кликов.

Twilio

• Очень эффективный метод для крупной фишинговой атаки. Первым делом регистрируемся с помощью новой почты и левого номера телефона(можно публичного виртуального) и заходим в аккаунт.
• Присылать СМС с названием компании вместо номера можно в большинстве стран, но не во всех.
• В России нужно попросить у тех поддержки зарегестрировать senderid(это небольшая проблема) с помощью формы, это займет от дня до недели.
• Если регистрация для страны не требуется, пропускаем предыдущий пункт.
• Берём простенький код на Python:

from twilio.rest import Client

account_sid = 'СИД АККАУНТА'

auth_token = 'ТОКЕН'

client = Client(account_sid, auth_token)

message = client.messages.create(body='Привет!', from_='ОТПРАВИТЕЛЬ', to='ПОЛУЧАТЕЛЬ')

print(message.sid)

• Токен и SID смотрим в консоли twilio из Project INFO(Console | Twilio)
• Теперь нам нужно апгрейднуть аккаунт, в правом верхнем углу будет баланс, а рядом "Upgrade", жмём и вводим левые данные.
• Как только нас просят оплатить, переключаемся на промокод и вводим TWILIOQUEST, получаем бесплатно платный аккаунт.
• Теперь можем запускать код, который я привел в статье ранее.
• Получаем сообщение от QIWI:

Вместо безобидного приветствия там могла быть фишинговая ссылка. При проделанных действиях будет так-же отображаться история сообщений от настоящего QIWI

Такая атака практически не используется хакерами, а зря. Ведь даже просвященный юзер, с довольно-таки большой вероятностью, может попасться на это.

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.