少しの背景
ある晴れた日、私はメガホンからSMSを受け取り、電話で1000ルーブルを受け取りました。 とても嬉しかったです。電話でお金を投げませんでした。 しかし、私の喜びは短命でした:1時間後に別のSMSが来ました:
" . : ( ) "
ポイントに近い
だからここに。 最近、 任意の番号からsmsを送信するというトピックについてインターネットを精査して、この種のサービスをたくさん見つけました。 それから私はメガホンの支払いの話を思い出し、考えました。結局このSMSを信じているので、これらのSMSからの情報をチェックするのが面倒です。 そして、このアイデアを思いつきました。 本当に怠け者は私だけではありません。 しかし、攻撃者がこれらのサービスのいずれかを使用するとどうなりますか? 最初にお金を引き出し、次に引き出し操作のキャンセルについて偽のSMSを送信しますか?
実験を実施しました:このようなサービスを介して5人を1人の送信者「90-0」から2つのSMSを送信しました(この番号から、sberbankカードの所有者はカードの操作に関するSMSを受け取ります)。
- 現金引き出しについて (テキスト:「VISA0421; Vydacha nalichnyh; Uspeshno; Summa:15000.00RUR; BANKOMAT 430403-2004; 11/01/11 16:55」)
- 引き出し操作のキャンセル (テキスト:「親愛なるカード所有者!15000RURが返されました。システムの障害によりカードから引き出されました。心から、Sberbank」)。
SMSの間隔は約5分でした。 結局のところ、実験の参加者の誰も最終的にこの状況について銀行に連絡しませんでした。誰かが失敗しただけです(電話の近くにいませんでした)。 この間、誰かが銀行の電話を見つけられず、状況を明確にすることができませんでした。 そして、2番目のSMSが到着したとき-落ち着いて、状況を忘れていました。 そして、これは、私が送信したメッセージで、カード番号が偽物であるという事実にもかかわらずです(彼らが持っていたカードがわかりませんでした)。 また、攻撃者は被害者に関する詳細情報を入手できます。
したがって、smsからの情報をチェックするのに気をつけて、怠notにならないでください 。
UPD:現在、攻撃者の観点からの最大の問題は、偽のsmsのタイムリーな到着です。 なぜなら 引き出しSMSの到着時間はさまざまであり、正確な到着時間を予測することは困難です。 本物の後に偽のSMSを送信する必要があります。 できれば数分で。