SMS-спуфинг - подстава месяца!

hiNt (hint@real.xakep.ru)

Xakep, номер #065, стр. 065-064-2

Суровая реальность

Потому что у меня, оказывается, закончился лимит бесплатных sms’ок, о чем говорила надпись в нижнем правом углу: Balance: 0.0. Тогда я просто попробовал зарегистрировать еще один аккаунт, снова на свою мобилу. Код активации был получен без проблем - все сработало. Я получил дополнительные пять попыток поглумиться над приятелями. Уже ради спортивного интереса, проверяя, дураки ли сидят в саппорте Кликателя, я быстро растратил 5 сообщений и повторил процесс регистрации/активации вновь. Оказалось, что не дураки. Третья попытка не увенчалась успехом - мой телефонный номер попросту забанили :(.

Собираем кредиты

Итак, давай посчитаем, сколько волшебных sms’ок мы можем послать. Как показали мои наблюдения, из одного номера можно выжать два (иногда три) аккаунта по 10 sms-кредитов. Именно десять, а не пять, как было сказано раньше. Дело в том, что в парном процессе тестирования возможностей Кликателя, я выяснил следующее: если выполнять активацию кода не в окне приложения программы Messenger-Pro 3, а в браузере, по адресу www.clickatell.com/central/central/activation.php, то разработчики щедро дарят нам на 5 смсок больше. Честно говоря, я так и не понял, в чем причина этой разницы. Возможно, как предположил Никитос, это моральная компенсация за просмотр баннеров. Но нас это не должно особо волновать, мы будем слать, слать и слать. После того как лимит исчерпан полностью, нужно искать другой мобильный номер. Попроси, например, друга продиктовать тебе код из полученной на его номер мессаги. Так, постоянно обращаясь к многочисленным друзьям, можно увеличить число сообщений бесплатно и абсолютно легально! Есть, конечно же, другие пути получения аккаунта, и далеко не триального. Во-первых, можно запастись здоровым именным словарем (имена чаще всего приносят успех) и окунуться в брутфорс. Если повезет, то ты "вспомнишь" пароль от чьего-нибудь богатого аккаунта, содержащего на борту несколько тысяч sms’ок. Также смс-кредиты можно приобрести за свои (или чужие, если по креде) кровные по кредитной карте или WIRE-чеку. Приблизительная цена тысячи сообщений - 50 удмуртских ежей.

Применение

Социальная инженерия. Владея ей в совершенстве, можно произвести взлом, основанный на человеческом факторе. Можно крупно кого-нибудь подставить, подшутить или напугать. Также подмену адреса from в смс-сообщениях выгодно использовать в домашних целях. Смотри, подставляешь свой номер в caller ID и пишешь нужное сообщение. Человек отвечает, и ответ принимает уже твоя мобила. А смысл в чем? А смысл в том, что исходящие послания у тебя получаются бесплатными! Главное быть рядом с компом. Кстати, также проверено, что если текст какой-нибудь известной "смертельной" смски, вроде "%English" для некоторых моделей Сименса, поместить в поле from, то эффект зависания будет иметь место быть :). Экспериментируй! Я уверен, что ты найдешь много интересных применений этой фишке, которыми поделишься со мной – пиши на hint@real.xakep.ru.

Предыдущие номера