SMS-информирование находит широкое применение в нашей жизни. И через него так удобно следить за балансом своих денег на банковской карте. Знать, что деньги пришли, или что снято именно Вами. Но использование этой функции сравни использованию неверно настроенному межсетевому экрану: внушает ложное чувство безопасности.
Одним прекрасным днём мне пришла sms от Мегафона о том, что мне на телефон зачислено 1000 руб. Я очень обрадовался: ведь я деньги на телефон не кидал. Но радость моя была недолгой: через час пришла другая sms:
Так вот. Недавно рыская по интернету на тему отправки sms с произвольного номера нашёл кучу сервисов подобного рода. Тогда я вспомнил про историю с платежом Мегафона и подумал: а ведь я так доверяю этому sms-информированию, что даже ленюсь проверить информацию из этих sms. И тут мне в голову пришла вот какая идея. Наверняка не я один такой ленивый. А что если злоумышленник воспользуется одним из таких сервисов? Сначала снимет деньги, а потом отправит липовую sms об отмене операции снятия денег?
Провёл эксперимент: отправил 5-м людям через такой сервис 2 sms от одного отправителя «90-0» (с этого номера держателям карты СберБанка приходят sms об операциях с их картой):
Промежуток между смс составил порядка 5 мин. Как выяснилось, ни один из участников эксперимента в итоге не связывался с банком насчёт этой ситуации: кто-то просто неуспел (не рядом с телефоном находились). А кто-то за это время не смог найти телефон банка, чтоб прояснить ситуацию. И когда пришла вторая sms — успокоился и забыл о ситуации. И это несмотря на то, что в отправленных мной сообщениях номера карт поддельные (я ж не знал какие у них карты). А у злоумышленника может быть больше информации о своей жертве.
Так что будьте бдительны и не ленитесь проверять информацию из sms.
UPD: в настоящее время самая большая проблема с точки зрения злоумышленника — осуществить своевременный приход подставной sms. Т.к. время прихода sms о снятии денег варьируется и сложно предсказать точное время прихода. А подставную sms необходимо отправить после реальной. Желательно через несколько минут.
Немного предыстории
Одним прекрасным днём мне пришла sms от Мегафона о том, что мне на телефон зачислено 1000 руб. Я очень обрадовался: ведь я деньги на телефон не кидал. Но радость моя была недолгой: через час пришла другая sms:
"Отмена ошибочного платежа. Ваш новый баланс: (тут цифры) руб"Ближе к сути
Так вот. Недавно рыская по интернету на тему отправки sms с произвольного номера нашёл кучу сервисов подобного рода. Тогда я вспомнил про историю с платежом Мегафона и подумал: а ведь я так доверяю этому sms-информированию, что даже ленюсь проверить информацию из этих sms. И тут мне в голову пришла вот какая идея. Наверняка не я один такой ленивый. А что если злоумышленник воспользуется одним из таких сервисов? Сначала снимет деньги, а потом отправит липовую sms об отмене операции снятия денег?
Провёл эксперимент: отправил 5-м людям через такой сервис 2 sms от одного отправителя «90-0» (с этого номера держателям карты СберБанка приходят sms об операциях с их картой):
- О снятии наличных (текст: «VISA0421; Vydacha nalichnyh; Uspeshno; Summa:15000.00RUR; BANKOMAT 430403-2004;01.11.11 16:55»)
- Об отмене операции снятия (Текст: «Уважаемый держатель карты! Вам было возвращено 15000RUR, которые были сняты с Вашей карты вследствие сбоя в системе. С уважением, Сбербанк»).
Промежуток между смс составил порядка 5 мин. Как выяснилось, ни один из участников эксперимента в итоге не связывался с банком насчёт этой ситуации: кто-то просто неуспел (не рядом с телефоном находились). А кто-то за это время не смог найти телефон банка, чтоб прояснить ситуацию. И когда пришла вторая sms — успокоился и забыл о ситуации. И это несмотря на то, что в отправленных мной сообщениях номера карт поддельные (я ж не знал какие у них карты). А у злоумышленника может быть больше информации о своей жертве.
Так что будьте бдительны и не ленитесь проверять информацию из sms.
UPD: в настоящее время самая большая проблема с точки зрения злоумышленника — осуществить своевременный приход подставной sms. Т.к. время прихода sms о снятии денег варьируется и сложно предсказать точное время прихода. А подставную sms необходимо отправить после реальной. Желательно через несколько минут.
