Fenomén SMS spoofingu, čili odesílání "falešných" SMSek, je v České republice stále aktuální. Ačkoli již v roce 2005 řada mobilních operátorů konstatovala, že jejich sítě jsou vůči falešným SMS již zabezpečeny, současné případy dokladují, že to není pravda. V současnosti lze falešnou SMS zfalšovat snadno, během několika sekund.
Na fenomén falešných SMS upozornila červnová akce skupiny Ztohoven, v rámci které obdrželi poslanci Parlamentu ČR fingované SMS, které se tvářily, jako by je odeslali oni sami. Distribuce falešných SMS proběhla i v rámci několika případů řešených poradnou projektu E-Bezpečí.
Ukázka funkční SMS spoofingové brány (listopad 20)
Falešné SMS jsou zpravidla odesílány ze zahraničních SMS center, která však neověřují identitu uživatelů, jejichž zprávy odesílají. V rámci zahraničního SMS centra stačí znát telefonní číslo odesílatele a příjemce... a falešná SMS je na světě.
Problém distribuce falešných SMS v žádném případě není problémem českých mobilních operátorů, kteří zprávy přicházející ze zahraničí pouze distribuují příjemcům. Je to celosvětový problém ověřování odesílatelů SMS zpráv v rámci mobilních sítí. "Samozřejmě v případě nutnosti mohou operátoři určit, zda zprávu odeslal domnělý odesílatel či nikoli," uvádí zástupci Asociace provozovatelů mobilních sítí. V praxi však uživatelé "laici" odhalí falešnou SMS zprávu jen zřídkakdy.
Při základní analýze počtu funkčních internetových SMS bran umožňující distribuci falešných SMS zpráv jsme prověřili cca 30 sms spoofingových bran, z nichž 84 % umožnilo odeslat SMS zprávu na mobilní telefonní číslo registrované v ČR.
Základní metodou obrany před SMS spoofingem je ověřovat si pravdivost SMS zpráv, které vám do mobilního přijdou. Zvláště být obezřetní v situaci, kdy je SMS zpráva svým obsahem neobvyklá.
Další metodou je prověření čísla SMS centra, z jakého SMS zpráva do mobilního telefonu dorazila. Bohužel v rámci nových mobilních zařízení typu IPhone a Android není vůbec jednoduché číslo SMS centra zjistit - základní SMS aplikace jsou v rámci těchto mobilních operačních systémů natolik user-friendly, že uživatele (ani v rámci funkce zobrazení detailu SMS zprávy) o číslu SMS brány neinformují.
Jak rozpoznat falešnou SMS na systémech OS Android
Metod, jak rozpoznat falešnou SMS, je samozřejmě více. Nicméně existuje řešení, které umožňuje identifikovat, ze které volné internetové brány byla SMS odeslána. Toto umožňuje například aplikace SMS Backup & Restore (autor Ritesh Sahu), kterou si můžete zdarma stáhnout v prostředí Google Play. Aplikace umožňuje uložit obsah SMS zpráv do formátu XML, přičemž ukládá obsah i detaily o SMS - včetně čísla SMS brány, ze které byla zpráva odeslána.
Na telefonní číslo E-Bezpečí jsme z jedné SMS spoofingové služby odeslali následující zprávu:
Na první pohled vypadá zpráva věrohodně. Byla odeslána z telefonního čísla E-Bezpečí, které je uloženo v seznamu kontaktů, SMS se tak k tomuto kontaktu přiřadila. Při použití aplikace SMS Backup & Restore však zjistíme, že se jedná o podvrh.
Výsledná zpráva, uložená ve formátu XML, totiž vypadá takto:
Když se zaměříme na část service_centre (označenou červeně), objevíme číslo brány, ze které SMS skutečně odešla. Pokud pak číslo brány začíná číslem zahraniční předvolby (v našem případě +389, tedy předvolbou Makedonie), je zjevné, že se jedná o zprávu, která neprošla českou SMS branou a pravděpodobně tedy bude podvržena. V případě využití našeho SMS centra by číslo SMS centra začínalo předvolbou +420.
dr. Kamil Kopecký
Univerzita Palackého v Olomouci, E-Bezpečí
Zdroje:
Falešné esemesky od Ztohoven označil premiér za selhání operátorů. Idnes.cz. Online: http://zpravy.idnes.cz/falesne-esemesky-jsou-podle-premiera-selhanim-operatoru-pen-/domaci.aspx?c=A0606_170253_domaci_kop
Co je SMS spoofing? E-Bezpečí. Online: http://www.e-bezpeci.cz/index.php/temata/dali-rizika/22-21.
Zikmund, M. Jak se bránit proti falešným SMS? Mobil.cz. Online: http://mobil.idnes.cz/jak-se-branit-proti-falesnym-sms-dav-/mob_tech.aspx?c=A050817_080440_mob_prakticky_dno
SMS Spoofing: Skutečně jen vtip? E-Bezpečí. Online: http://www.e-bezpeci.cz/index.php/temata/dali-rizika/44-48