最近發現了一個提供免費發文字簡訊服務的網站,
http://www.callwave.com/My/TextMessages/
注意:8月18日我上去那網站,
發現我之前申請的,好像要再發簡訊,會要求你選擇付費,
看來免費只是短暫的,真是OOXX,不好的行銷技巧....
不過以下有關社交工程方面,還是可以參考其中的思路的。
申請的方法: 請參考以下圖式教學
第一步
第二步
第三步
申請很簡單吧,這是個重點喔,等下再提。
試用的結果還不錯,挺方便的,
可惜好像缺少發群組的功能,不然就更方便了。
不過,重點在於它是免費的。提供網路簡訊的不少。
如台灣雅虎也有,不過大部分都是要收費。
使用好一陣子後,我突然想到一件事。有點好奇。
它究竟是透過什麼系統,不用通過我門號的 電信公司。
(有通過的話不可能不收錢吧,
如有通過,我門號的電信公司如何確定是我本人同意的)
然後寄出的簡訊確實顯示的是我的門號。
沒錯,傳的簡訊顯示的確實是我的門號,
和我用手機傳時沒什麼不同,沒有多餘的訊息。
收到簡訊的人直接回覆時,也是回覆給我。
大家不會覺得奇怪嗎,只要申請和確認簡單的認證碼。
(認證碼也不是用回覆簡訊的方式)
不用通過我的門號的電信公司。
它就能以我的門號來發送簡訊。
其實我覺得這是有安全問題的,
這代表這個網站能夠以任何人的門號發送簡訊。
當然網站不會沒經過同意就這麼做啦。
不過這是我對它的第一個疑問。
對網站而言,以他人門號傳簡訊的技術如此容易?
且不用經過門號擁有者的電信公司?
第二個疑問是
我覺得它認證方式應該用認證簡訊需要用手機回覆的方式。
為什麼這麼說,註冊很簡單方便不是問題,
畢竟再複雜也可以捏造。
重點在於認證碼,寄認證碼是為了確認這個門號是存在的。
並且註冊者能在網站填入認證碼,表示有收到看到認證簡訊。
也就表示門號確實是註冊者的?
接下來要扯入另一個話題--------社交工程
社交工程 (Social Engineering)
其實這是一個特殊的專有名詞。一般人可能不知道。
社交工程指的是一種 駭客手法,
什麼?你可能會以為是什麼電腦技術吧。
不是,社交工程其實說穿了就是詐騙。
很奇怪吧,駭客怎麼會特別提出這個說詞。
(駭客定義有很多,在這裡姑且不要太計較吧)
因為駭客常和資訊系統的安全是相關的。
而資訊系統的安全高度取決於最弱的環節。
最弱的環節是什麼,不是系統,不是漏洞,
而是-------------人。
要對付人,就常常要用到社交工程。
意思是指找網站系統漏洞可能還不如直接騙管理人員密碼快。
另外社交工程在駭客中被注意,可能是有一個人的幫忙。
那就是曾被稱為全球頭號駭客的凱文. 米特尼克 ( Kevin Mitnick)
這裡不談他了,有興趣的人可以找找,資料不少。
其實社交工程到底和台灣現在流行的詐騙集團有什麼分別。
我想分別在於社交工程還是以獲得資訊為主而非詐財。
當然兩者都是犯法,都是不對的。
好了說了這麼多,就來想像一下這個免費簡訊的服務,
是否會被社交工程所利用?
(以下全屬想像推測,可行性很低
也請勿以身試法)
首先你可能要扮做網路聊天室的辣妹(噁~~),
通常很快就會有寂寞男子來陪你聊天。(而且是一群)
接著東拉西扯的過程不談。
再來就談要不要約出來。(最好是對方提出)
然後堅持先要對方的電話,才給自己的。
(其實社交工程很看個人的天份及說服力)
要電話的同時去把這個免費簡訊的網站打開。
填上資料,手機號碼先空著。
等要到電話再填入,先別傳送出去。
這時騙對方說,為了要確認門號真的是對方的,
又不想沒確認前透露手機號碼,
所以會用一個網路服務傳一封簡訊。
簡訊中有一段數字,請告訴我。才給手機號碼。
成功的話就取得認證碼了,也就表示---
---能用那個人的門號傳簡訊?
其實到後面已有些扯爛,可能有人不信這樣能騙到人。
其時當然就看個人說服力。
加上真的還是有些人會上當,認為不就是一段數字。
給對方自己又沒什麼損失。這就是社交工程運用的地方。
看似不重要的資訊經過間接轉折可以獲取重要的資訊。
再加上亂槍打鳥的方法(詐騙集團必用),100人上當1人就行。
總而言之,說這些不是要教壞他人,畢竟手法萬萬千。
重點要告訴大家多了解一點資訊,少一分受騙。
還有網站若使用認證簡訊需要用手機回覆的方式。
以上那段社交工程就無效了。
所以牽扯到個人真實資訊用途的。(手機簡訊就屬於這類)
在使用認證過程中還是多考量些比較好。
可以轉載,請先留言通知,並註明出處。
全站熱搜
留言列表
