BLOG

CallerID spoofing alebo ako na Slovensku jednoducho volať s identitou niekoho úplne iného

2010-02-09 01:03 Pavol Lupták

O možnosti ako jednodnoducho a relatívne lacno posielať podvrhnuté SMS (teda z podvrhnutého čísla odosielateľa) som vedel už dávnejšie, umožňuje to množstvo verejných služieb napríklad www.phonytext.com alebo jeho lacnejšia variantawww.smsxchange.com. Serióznejšie spoločnosti ako napríklad www.clickatell.com umožňujú “Caller ID” nastavovať iba pre overené čísla (po spätnom overení zaslaním verifikačného tokenu).

O možnosti jednoduchého a lacného volania z podvrhnutého čísla (teda “Caller ID spoofing”) som síce vedel už dávnejšie, ale týkalo sa to územia Spojených štátov a nie medzinárodných hovorov. Na Slovensku bežný smrteľník nedokáže vytvárať hovory z podvrhnutého čísla (teda spoofovaným “Caller ID”), pokým nemá prístup na SS7 trunk a nepracuje ako VoIP poskytovateľ.

Aspoň to som si doteraz myslel… Doslova ma ale šokovala služba www.spoofcard.com, ktorá túto službu začala medzinárodne ponúkať. Samozrejme, že som to hneď overil, zaplatil si PayPalom najnižší kredit za $4.95, ktorý predstavuje 25 kreditov (čo je 25 minút na slovenské pevné linky a približne 8 minút na slovenské mobily) a naspoofovaný hovor rovno vykonal – zavolal som si na svoj O2 mobil z podvrhnutého čísla (výber podľa ľubovôle) a na moje prekvapenie mi telefon zobrazil podvrhnuté číslo volajúceho a hovor išiel normálne zdvihnúť!

Pomocou služby www.spoofcard.com je možné vykonať podvrhnuté hovory už aj z ich českého čísla +420 246019703, po ktorého vytočení stačí naťukať váš PIN (ktorý získate po zaplatení účtu), zadať cieľové číslo volaného, zdrojové číslo volajúceho, potom je tu možnosť nastaviť si váš hlas (pomocou integrovanej služby “voice change”) buď na mužský alebo na ženský, prípadne zapnúť nahrávanie pre vašu osobnú potrebu.

Osobne mi tam chýba len napojenie na SIP/IAX rozhranie, nakoľko slovenskí VoIP poskytovatelia nastavovanie “Caller ID” neumožňujú (a v súlade so súčasnou legislatívou zrejme ani nikdy nebudú).

Zneužitie je podľa mňa obrovské – ohrozené sú všetky služby, ktoré sa pri autentifikácií spoliehajú na “Caller ID” volajúceho a ďalej už nevykonávajú ďalšie overenie pomocou dodatočného hesla, ako napríklad hlasové schránky, rôzne call centrá, zle implementovaný mobil banking a iné.

Priamo prevádzkovateľ tejto služby – spoločnosť TelTech Systems ponúka voči službe www.spoofcard.com ochranu – ďalšiu platenú službu TrapCall, ktorá by podvrhnuté CallerID mala odhaliť a zobraziť skutočného volajúceho. V každom prípade dosť zaujímavy biznis model 🙂

Preto treba začať žiť s tým, že “Caller ID spoofing” je medzi nami, reálne funguje a nepoužívať akékoľvek služby, ktoré sa na túto identitu volajúceho implicitne spoliehajú.