Despues nos preguntamos por que nos llega SMISHING...

Primero que nada...

Que es SMISHING??

El SMiShing es un término informático para denominar un nuevo tipo de delito o actividad criminal usando técnicas de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil. El SMiShing es una variante del phishing.

Segun la wikipedia.

-----------------------------------------------------------------------------------------------

La objetividad del articulo...

Sin nada que hacer me puse a analizar un poco el sistema de SMS via web del proveedor de telefonia movil "TIGO" la cual analice un rato, hasta llegar con una variable muy llamativa.

    ?orden=1 <--Dirigida por client.php

Que me imprimio el siguiente texto: session=8923



Al ver una variable de ese tipo, lo primero que se viene a la mente es buscar BUGS, SQLI por cierto.. pero encontre algo muy curioso al cambiar el valor a 2.


Al final.. es un total de 10724, interesante ya podemos deducir que tenemos DATA FRESH! para iniciar una secuencia de SPAM.


Ahora solo nos falta programarnos un Script que nos ayude a lanzar un SMS a toda la data, preferiblemente algo de pHP por cuRL hacia un servidor usado para estos fines o un script en perl mediante uso de credenciales POST hacia algun servicio dedicado para los SMS ejemplo: PINGER.

El problema es que Pinger solo acepta 1 Numero para enviar SMS y no se puede adherir un listado de 10 K como el anterior. pero.. por script se podria...!


SMISHING directo..

Bueno el SMISHING directo consiste en coger numeros al azar ya sea 3 o 4 y realizar un tipo de ing social para obtener un beneficio final, este es mas complicado por que al ser de pocas cantidades se requiere de paciencia, creatividad y buena ing social.

Escenario SMISHING DIRECTO:

Como muchos sabran los servicios Online que ofrecen SMS gratuitos o pagos a nivel mundial te generan un numero de respuesta (NO TODOS) el cual puede ser confuso para el receptor.

De que sirve que sea confuso??

Un usuario receptor no le parecera real un supuesto premio que viene de un numero similar al de el.. en pocas palabras otro NUM de CEL de el usuario comun.

En cambio si le envias un SMS con un numero muy poco usual este creera que es de la empresa proveedora de telefonia o un target especifico para realizar el SMISHING.

EJEMPLO: BANCO, CANALES, RADIO etc


Pruebas...
Los numeros en colombia son del tipo: 300-xxx-xxxx
En la imagen podemos notar un numero poco comun entre los receptores de SMS y al notar este creera que es proveniente de una fuente benigna.


Se puede notar que al recibir este, se le pide al usuario que conteste mediante un SMS al 6667 el cual es un sistema de SMS de cobro que se ha configurado previamente para cobrar grandisimas sumas.


Entonces podemos deducir que.. las empresas de telefonia no toman las medidas necesarias para que nuestros numeros de cel se mantengan privados a terceros en la red, El caso anterior en el cual se muestra como TIGO imprime una gran cantidad de numeros 100% REALES y servibles para los que se dedican al SMISHING, que trae como consecuencia usuarios con perdida de dinero incluso otra clase de problemas aislados a lo economico.



VULNERABLE TARGET: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
TYPE: Information Disclosure



Talvez te interese un articulo referente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta