comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Despues nos preguntamos por que nos llega SMISHING...

  • 0 Respuestas
  • 2142 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado MaztoR

  • *
  • Underc0der
  • Mensajes: 56
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • MaztoR [IN]-Security
    • Email
  • Skype: Maztor-
« en: Julio 07, 2012, 03:34:17 am »
Primero que nada...

Que es SMISHING??

El SMiShing es un término informático para denominar un nuevo tipo de delito o actividad criminal usando técnicas de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil. El SMiShing es una variante del phishing.

Segun la wikipedia.

-----------------------------------------------------------------------------------------------

La objetividad del articulo...

Sin nada que hacer me puse a analizar un poco el sistema de SMS via web del proveedor de telefonia movil "TIGO" la cual analice un rato, hasta llegar con una variable muy llamativa.

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
    ?orden=1 <--Dirigida por client.php



Que me imprimio el siguiente texto: session=8923



Al ver una variable de ese tipo, lo primero que se viene a la mente es buscar BUGS, SQLI por cierto.. pero encontre algo muy curioso al cambiar el valor a 2.


Al final.. es un total de 10724, interesante ya podemos deducir que tenemos DATA FRESH! para iniciar una secuencia de SPAM.


Ahora solo nos falta programarnos un Script que nos ayude a lanzar un SMS a toda la data, preferiblemente algo de pHP por cuRL hacia un servidor usado para estos fines o un script en perl mediante uso de credenciales POST hacia algun servicio dedicado para los SMS ejemplo: PINGER.

El problema es que Pinger solo acepta 1 Numero para enviar SMS y no se puede adherir un listado de 10 K como el anterior. pero.. por script se podria...!


SMISHING directo..

Bueno el SMISHING directo consiste en coger numeros al azar ya sea 3 o 4 y realizar un tipo de ing social para obtener un beneficio final, este es mas complicado por que al ser de pocas cantidades se requiere de paciencia, creatividad y buena ing social.

Escenario SMISHING DIRECTO:

Como muchos sabran los servicios Online que ofrecen SMS gratuitos o pagos a nivel mundial te generan un numero de respuesta (NO TODOS) el cual puede ser confuso para el receptor.

De que sirve que sea confuso??

Un usuario receptor no le parecera real un supuesto premio que viene de un numero similar al de el.. en pocas palabras otro NUM de CEL de el usuario comun.

En cambio si le envias un SMS con un numero muy poco usual este creera que es de la empresa proveedora de telefonia o un target especifico para realizar el SMISHING.

EJEMPLO
: BANCO, CANALES, RADIO etc


Pruebas...
Los numeros en colombia son del tipo: 300-xxx-xxxx
En la imagen podemos notar un numero poco comun entre los receptores de SMS y al notar este creera que es proveniente de una fuente benigna.


Se puede notar que al recibir este, se le pide al usuario que conteste mediante un SMS al 6667 el cual es un sistema de SMS de cobro que se ha configurado previamente para cobrar grandisimas sumas.


Entonces podemos deducir que.. las empresas de telefonia no toman las medidas necesarias para que nuestros numeros de cel se mantengan privados a terceros en la red, El caso anterior en el cual se muestra como TIGO imprime una gran cantidad de numeros 100% REALES y servibles para los que se dedican al SMISHING, que trae como consecuencia usuarios con perdida de dinero incluso otra clase de problemas aislados a lo economico.



VULNERABLE TARGET: No tienes permisos para ver links. Registrate o Entra con tu cuenta
TYPE: Information Disclosure

PWNED TIGO!


Talvez te interese un articulo referente: No tienes permisos para ver links. Registrate o Entra con tu cuenta
-------------------------------------
| Twitter: @Mazt0r                
| Site: No tienes permisos para ver links. Registrate o Entra con tu cuenta        
| Skype: Maztor-                    
-------------------------------------

 

¿Te gustó el post? COMPARTILO!



Eliminar rastro y huellas después de una intrusión (Event Log)

Iniciado por LionSec

Respuestas: 3
Vistas: 2745
Último mensaje Diciembre 06, 2014, 03:31:45 pm
por LionSec