אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » זיוף שם השולח בסמס

זיוף שם השולח בסמס

רן בר-זיק אוגוסט 15, 2018 8:43 am 2 תגובות

מקבלים סמס מגוף גדול? זה כל כך קל לזיוף! פה אני מסביר וגם מדגים

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

בהמשך לפרשת ניסיון הפישינג האחרון ובהמשך לכתבה שעלתה ב'חי בלילה' (מצורפת פה) רציתי להרחיב מעט על עניין הסמסים המזויפים.

לא מעט גופים מתקשרים איתנו באמצעות סמסים. ביניהם גם גופים חשובים כמו בנקים, חברות כרטיסי אשראי וכדומה. כשאנו מקבלים סמס מגוף כזה, אנו נוטים להאמין לו. אם אנחנו מקבלים סמס מחבר קרוב למשל שמבקש מאיתנו להכנס לאתר, אנו נכנס. אם נקבל סמס מגוף חשוב עם הוראות רלוונטיות, סביר להניח שנעקוב אחריו. אבל זה סוד גלוי – אפשר בקלות לזייף סמס מכל גוף שהוא ומכל אחד. אני לא נכנס כרגע לזיוף סמסים ממספרים – למרות שגם הם מאוד קלים לזיוף. אני אדבר על זיוף סמסים מגופים ששולחים סמס במשלוח המוני.

סמסים מדואר ישראל, אחד מהם מזויף
סמסים מדואר ישראל, אחד מהם מזויף

אם פעם ניסיתם להציץ בשם השולח בסמס מגוף גדול, הייתם רואים שאין מספר. איך אפשר לשלוח סמס ללא מספר? המרכזיה שמקבלת את הסמס מאפשרת משלוח סמסים ללא מספר אלא עם זיהוי שנקרא Sender ID. מדובר בשם באנגלית (עם אות אחת באנגלית) של עד 11 תוים. כאשר הטלפון מקבל סמס, הוא בודק אם יש מספר. במידה ואין, הוא יבדוק את ה-Sender ID וימיין את ההודעה לפיו. כך כל ההודעות שמגיעות עם Sender ID של (למשל) Clalit, ימויינו תחת Clalit כאשר נכנס לתפריט הסמסים שלנו.

אגב, לא כל המדינות מאפשרות את זה. בארצות הברית למשל אי אפשר לשלוח סמס עם Sender ID. סמס ללא מספר יראה כאילו הוא ריק וכולם יתמיינו בטלפון לפי שם שולח ריק.

המרכזיה ששולחת אלינו את הסמס לא יכולה לבדוק את ה-Sender ID. מה שהיא מקבלת? היא שולחת. כן, זה עד כדי כך פשוט. אם אני שולח Sender ID של גוף מוכר? המרכזיה תשלח אותו איך שהוא, הטלפון יקבל אותו איך שהוא ויבדוק את המספר. כיוון שאין מספר, הוא ימיין את ההודעה לפי ה-Sender ID. אין לו שום יכולת להבין אם Clalit נשלח על ידי כללית או על ידי תוקף.

בואו ונדגים. את המשלוח אפשר לעשות בלא מעט שירותים. או בכלל בלי שירותים עם ממשק גרפי. אבל כדי להראות כמה זה קל, אני אשתמש בשירות עם ממשק גרפי. הכנתי סרטון קצר שבו אני מראה איך מזייפים סמס.

כדי להתרשם כמה השירותים האלו נפוצים, חפשו "send sms sender id" בגוגל – ופה מדובר רק על השירותים לחסרי ידע טכני, כן? אלו שיש להם ידע טכני משתמשים בשירותים זולים בהרבה וזמינים בהרבה שיכולים לשלוח אלפי סמסים בשניות.

מה המסקנה?

סמסים, עד כמה שהם נוחים, הם בבחינת 'כבדהו וחשדהו'. עם דגש כבד על ה'חשדהו'. קיבלתם סמס שציפיתם לו? למשל בשעת חידוש סיסמה או בשעת יצירת קשר עם השירות? מעולה! כנראה שזה אמיתי. קיבלתם סמס במפתיע? כזה עם קישור? התייחסו לקישור כחשוד. זה אומר ראשית לבדוק אם הדומיין מוכר לכם ואם הוא אכן הדומיין של השירות. איך בודקים? מחפשים את השירות בגוגל (למשל 'כללית'), נכנסים אליו עם הדפדפן ונכנסים אל הקישור החשוד בסמס עם הדפדפן – האם מדובר באותם שמות בדיוק? שימו לב שכל התוים נראים תקינים. פתרון טוב יותר הוא ליצור קשר עם השירות ולוודא שהוא אכן מאחורי ההודעה. אלעד מידר יצר קשר עם כללית אחר שהוא קיבל סמס מזויף. פתרון אחר הוא להמתין כמה ימים ולראות עם הקישור פעיל. בכל מקרה – תמיד לחשוד בסמסים ולא להכנס מיד לקישור. במיוחד צריך לחשוד אם גוף מבקש מכם פרטים שכבר אמורים להיות ידועים לו: כמו מספר כרטיס אשראי, מספר תעודת זהות וכו'.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
חדשות אינטרנט

2 תגובות

  1. שמואל דרמר הגב אוגוסט 15, 2018 בשעה 11:57 am

    שיפוץ קטן:
    בכתבה ב"חי בלילה" אתה אומר שאין נזק במידה שהגיע לכם סמס, ואפילו אם לחצתם על הלינק, אלא אם מילאתם פרטים ולחצתם על שליחה.
    אז אולי לגבי האתר הספציפי הזה, זה נכון.
    בעקרון, ישנם לינקים שבהחלט יוצרים נזק בעצם הכניסה אליהם.
    ישנם אתרים שעוד לפני ששלחת את הפרטים, הם כבר נשמרו, למעשה כל הקשה נשלחת לשרת.

  2. אריאל הגב אוגוסט 19, 2018 בשעה 8:52 am

    אפשר להשתמש ב asterisk
    לזיוף שולח SMS ויוזם שיחה

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד