Bølge af phishing-angreb binder danske forbrugere til abonnementer

Jeg har købt adgang til en såkaldt sms-gateway. Her kan man frit angive afsender, idet der vist er 11 tegn. Jeg sendte sms fra "Julemanden" til mine børn. Jeg sætter normalt mit eget mobilnummer som afsender, da jeg sendte for en kunde, så brugte jeg hans servicennumer. Men jeg kan lige så nemt sætte SAS' eller statsministerens telefonnummer ind. Så det kræver ingen hacker, blot adgang til en gateway, som kan købes på legal vis. Det er dog næppe helt legalt at udgive sig for en anden.

SMS spoofing er vel ikke noget nyt og er vel det der er benyttet her?

https://hackernoon.com/sms-spoofing-used-to-swindle-retailers-merchants-c4023c7d8dbd

Ikke helt. Du kan bruge en VPN som så har en anden IP, men ikke f.eks. google's 8.8.8.8
Den ene vej går det nok, men svaret fra serveren kommer aldrig frem.

SMS svarer til UDP. Jeg kan uden problemer sende en UDP pakke afsted til dig fra 8.8.8.8.

Taleopkald fungerer lidt anderledes. Der skabes ikke en direkte forbindelse. I stedet er det en kæde af talekanaler, fra central til central og fra operatør til operatør. Du ved ikke hvilke der har været før dig. Det svarer lidt til at der udføres NAT i hver router, som kaldet går igennem.

Det er i øvrigt det samme med IP adresser, som også frit kan forfalskes på afsendersiden.

De danske numre +45 bliver styret at en styrelse et sted i Danmark, TDC, Telenor, Telia beder alle om at få en nummerserie osv. ergo er der nogen der kan regne ud at det ikke skal være muligt at et givent dansk nummer ringer ind via en fransk teleoperatør når nu nummeret er registeret hos TDC, Telenor eller Telia.

Det man skal forstå, er at der er forskel på at ringe TIL et nummer og at ringe FRA nummeret. Der er styr på hvor opkaldet skal hen når der ringes til et dansk nummer.

Men nummeret der ringes FRA er bare information. Det bruges ikke til noget rent teknisk. Det er i øvrigt det samme med IP adresser, som også frit kan forfalskes på afsendersiden.

Der må være noget galt med vores love når man kan blive bundet af sådan et tilbud. Det burde være en ekspeditions sag at klage til banken over trækket og få det annulleret.

De danske numre +45 bliver styret at en styrelse et sted i Danmark, TDC, Telenor, Telia beder alle om at få en nummerserie osv. ergo er der nogen der kan regne ud at det ikke skal være muligt at et givent dansk nummer ringer ind via en fransk teleoperatør når nu nummeret er registeret hos TDC, Telenor eller Telia.

Man kunne selvfølgelig fjerne muligheden for at flytte sit nummer til et andet selskab. Uden det havde det været en smal sag at forhindre det internt i Danmark. Men så var forbrugerne bundet på hænder og fødder.

Det er så dog kun for tale opkald. For SMS kunne man måske godt klare det ved hjælp af SIM kortet.

Det er dog ikke et telefonnummer der bruges. Man skriver blot SAS som telefonnummer i SMS'en.

Bottom line er dog, der kommer aldrig nogen sikkerhed på det her. Tale og SMS er ikke et forretnngsområde for nogen, det er enten en cash cow, eller noget som bare følger med når man sælger mobildata.

Altså der er ingen som vil kaste penge efter at udvikle sikkerhed på det her!

Det er et verdensomspændende netværk. Du kan have et Call Center i Indien der ringer ud med dansk nummer via en teleoperatør i Frankrig.

Verdensomspændende, lige som internettet?

De danske numre +45 bliver styret at en styrelse et sted i Danmark, TDC, Telenor, Telia beder alle om at få en nummerserie osv. ergo er der nogen der kan regne ud at det ikke skal være muligt at et givent dansk nummer ringer ind via en fransk teleoperatør når nu nummeret er registeret hos TDC, Telenor eller Telia.

Det kan godt være jeg skriver om en stump kode/maskine der ikke findes endnu, men det burde være muligt at bygge sådan en.

Der er sikkert en masse ikke valide kombinationsmuligheder der skal stoppes inden at slutbrugerne får sit telefonopkald eller SMS besked.

og når man som bruger/borger får et opkald eller er SMS besked der er falsk, skal det være muligt at finde ud af hvor det opkald eller SMS besked kom fra og om nødvendigt fratage en teleoperatør at benytte danske numre. (i de tilfælde at teleoperatøren misbruger sit privilegde)

Telesystemet indeholder ikke nogen mekanisme så nummeret, der ringes fra eller sendes sms fra, kan verificeres.

Det kan ikke fikses ligeså lidt som smtp protokollen kan forhindre spam. Det er et verdensomspændende netværk. Du kan have et Call Center i Indien der ringer ud med dansk nummer via en teleoperatør i Frankrig.

Et andet eksempel kan være at du har en telefonlinje hos TDC med et nummer du er glad for. Det er fint til at modtage opkald på. Men når du ringer ud, så bruger du en billig SIP operatør i England. Og det kan du gøre og stadig have dit danske TDC nummer vist som nummer der ringes fra. Der er i øvrigt ingen der aner hvor i verden du befinder dig, når du ringer på den måde.

Det kan lade sig gøre ved at SAS eller deres leverandør af SMS beskeder er blevet hacket. Det kan også være at protokollen til udveksling af SMS'er er lige så gammel og hullet som SMTP protokollen er.

Er det protokollen det er galt med, burde teleoperatørene måske kigge på at samarbejde om hvem der "ejer" hvilke navne (SAS i dette tilfælde), hvis der så kommer en SMS der udgiver sig for at være fra SAS, men ikke kommer fra den operatør der ejer navnet, så afvises SMS'en det samme, hvis der kommer et telefonopkald fra en danske nummer, med det kommer via en kanal der kun burde være udenlandske numre. Altså en slags SPF for telefonopkald og SMS'er.

Der må være noget galt med vores love når man kan blive bundet af sådan et tilbud. Det burde være en ekspeditions sag at klage til banken over trækket og få det annulleret.