Caller id spoofing

Joku on voinut päästä puhelimen yhteystietoihin jotain muuta kautta kuin puhelimestasi. Puhelimet uploadaavat niitä Whatsappiin ja ties minne, joten osajoukko yhteystiedoista voi vuotaa jonkun kolmannen osapuolen palvelun kautta välillisesti kun joku kontaktisi on vuotanut tietoja ja laittanut niitä jakoon (ehkä tahattomasti). Et välttämättä itsekään tiedä missä kaikkialla yhteystietojasi löytyy, vaikka olisit asiasta itse hyvin tarkka.

Kyseessä voi toki olla myös sattuma, joskin hieman yllättävä sellainen.

Tarkistaisin kyllä puhelimen varmuuden vuoksi :) 

hauturi kirjoitti:

Kiitos. Mitä siitä kannattaisi tarkistaa / miten? iPhone kyseessä.

Olisikohan joku paassyt icloud-palveluun? Vaihda sinne salasana. 

Lienee aika paljon harvinaisempaa etta ihan puhelimen joku pystyisi hakkeroimaan.

Jotenkin sen on pakko tapahtua puhelimen päässä jonkun appsin kautta. Muuten on vaarallisia reikiä jossain muualla ja uutisia siitä joka lehdessä. Jollain appsilla sun yhteys/logitetoihin oikat ja spämmääjä käyttää sitä.

hauturi kirjoitti:

Täällä lienee erilaisten huijareiden menettelytavoista ja teknisistä mahdollisuuksista minua huomattavasti enemmän tietäviä.

Lyhyen ajan sisällä olen saanut pari puhelua suomalaisesta numerosta, jossa sitten englanniksi on aloitettu keskustelu joka on haissut kusetukselta heti ensi metreiltä. Olen lopettanut molemmat keskustelut varsin lyhyeen.

En ole perillä näiden huijareiden käyttämistä menetelmistä, mutta ymmärsinkö oikein, että sait matkapuhelimeesi tulevan normaalin puhelun? Siis kyse ei ole vaikkapa Whatsapp tai muun applikaation VoIP puhelusta? Ja jos puhelu tuli normaalina matkapuhelinvekon puheluna, näyttikö puhelimesi puhelun tulevan käännettynä jostain numerosta vai soittajalta suoraan? 

hauturi kirjoitti:

Ensimmäinen näytti tulevan ihan random-numerosta (Fonectan mukaan joku tyyppi Lahdesta), mutta tämän toisen soittajana näkyi puhelimessa oleva yhteystieto (sattumoisin sama, josta minulle on viimeksi soitettu). Kysymys kuuluukin, oliko kyseessä sattuma; onko joku keino saada soitto näyttämään yhteystiedoissa olevasta numerosta tulevalta pääsemättä käsiksi yhteystietoihin; vai onko joku päässyt käsiksi puhelimeni yhteystietoihin?

Jos arvasin yllä oikein, tuon jälkimmäinen tapaus on mielenkiintoinen. Vaikka joku olisikin anastanut puhelimesi yhteystiedot, ei sillä tiedolla pääse soittamaan sinulle päin jostain spesifisestä puhelinluettelostasi tai viimeisten puheluiden jonostasi poimitusta numerosta. Syy on siinä, että lähtevän puhelun aloittavaan viestiin ei edes voi koodata mukaan soittajan numeroa ollenkaan. JOS soittajan numero tai nimitieto paljastetaan vastaanottajalle, se soittajan tilaajatieto tulee verkosta. Soittajan identiteetin piilotus tapahtuu soittajan puhelimen pyytämällä identiteetin jakamisen estolla, mutta missään vaiheessa se soittajan identiteetti ei tule puhelun vastaanottajalle soittajan puhelimesta, vaan verkosta. Jos tulee. 

Kaikki ihmisen tekemä on rikottavissa, eikä mikään lukko tarjoa murtovarmuutta, vaan ainoastaan asettaa hinnan murtautumiselle siinä toivossa että kriminaali löytäisi helpompaa murrettavaa jostain muualta. Ihan puhtaana arvauksenani esitän, että jos minun pitäisi päästä soittamaan sinulle siten, että näet puhelun tulevan jostain muusta kuin omasta todellisesta numeroistani, en lähtisi murtautumaan Telian tai Elisan puhelinkeskukseen. Yrittäisin ehkä jonkin corporate network tapaisen gatewayn takaa, jossa pääsisin käsiksi verkkojen väliseen signalointiin tai vaihtoehtoisesti kokeilisin sellaisella VoIP protokollalla, joissa voidaan antaa sekä kohde reititystä varten että lähde informatiivisena tietona jo soittajan päästä mukaan? 

Väärän soittajannumeron näyttäminen on "helppoa", eli mitenkään mystinen osa ei ole miten puhelu näyttää tulevan Suomesta tms vaikkei tulisikaan, eli mysteeri on juurikin, miten soittaja on osannut valita tekaistuksi numeroksi numeron, joka on sinulle tuttu.

Tulee kuitenkin mieleen, että on ehkä liian pitkälle menevää olettaa että kontaktisi olisi jotenkin murrettu puhelimestasi - tällaiseen strategiaanhan voisi olla hyödyllistä vain löytää numeropareja jotka ovat todennäköisesti tuttuja toisilleen.

Olisiko mahdollista, että numeroita on kalastettu jostain julkisesta lähteestä, jonka kautta on saatavissa sekä ihmisten puhelinnumeroita, että heidän linkkejään toisiinsa? En ole linkedinin jäsen, mutta voisiko esimerkiksi se olla tällainen lähde?

Voisi myös selittää "random-tyypin Lahdesta", jostain tällaisesta lähteestä on kalastettu ihmisiä joilla näyttäisi olevan linkki sinuun, ja yksi on ollut osuma ja toinen huti?

JR kirjoitti:

 

Olisiko mahdollista, että numeroita on kalastettu jostain julkisesta lähteestä, jonka kautta on saatavissa sekä ihmisten puhelinnumeroita, että heidän linkkejään toisiinsa? En ole linkedinin jäsen, mutta voisiko esimerkiksi se olla tällainen lähde?

Juurikin tätä pidän todennäköisenä. Muut ihmiset voivat myös tahattomasti luovuttaa tietoja, eikä välttämättä ei tarvita mitään tietomurtoa. Riittää kun joku jolla on tietoja hyväksyy käyttöehdoissa  että "share all my adress contact and phone call data with DataLeechers Ltd." 

Mikäli puhelin on iPhone tai iCloud tili olisi hyökkääjän hallussa niin löytyisi paljon mielenkiintoisempaakin käyttöä kuin puhelinluettelon lataaminen tai saapuvan numeron väärentäminen. iPhonesta voi lähinnä tarkastaa että päivitykset on ajettu sisään.

hauturi kirjoitti:

Hyvää pohdintaa. Tuo henkilö jonka numerosta soitto näytti tulevan ja joka on yhteystiedoissani ei ole LinkedInisssä, joten sieltä yhteys ei ole peräisin. Eikä meillä tietääkseni ole muitakaan julkisista lähteistä löytyviä yhteyksiä, paitsi että asumme n. 1km päässä toisistamme (elikä täkäläisessä katsannossa "samalla kylällä"). Sen sijaan olemme lähettäneet viestejä whatsappissa, joten jos sen tietoihin on päästy käsiksi niin sieltä yhteys löytyy. Lisäksi olemme lähettäneet sähköposteja, joten jommankumman sähköpostitilin murtamalla löytyy myös yhteys, muttei puhelinnumeroita.

Onko mahdollista, että olette soittaneet samalle kolmannelle osapuolelle ja yhteys / vuoto löytyy sieltä? 

Olis käsittämätön sattuma, että just vastattu numero olisi ongittu kolmannelta osapuolelta

WD40 kirjoitti:

Olis käsittämätön sattuma, että just vastattu numero olisi ongittu kolmannelta osapuolelta

Se on epätodennäköistä, mutta samoin on se, että puhelimeen on murtauduttu tasolla jolla sieltä saadaan tollainen tieto ulos, ja sitten sitä murtoa "hyödynnetään" huijauspuhelulla joka välittömän itsestäänselvästi ei ole siltä listatulta henkilöltä.

Epätodennäköisiä asioita tapahtuu, ja tässä esitetyt vaihtoehdot tuntuu vielä epätodennäköisemmiltä.

WD40 kirjoitti:

Olis käsittämätön sattuma, että just vastattu numero olisi ongittu kolmannelta osapuolelta

Ei välttämättä. Volyymibisnes, jossa tavoite saada asiakas vastaamaan. Poka vastaa todennäköisemmin tuttuun numeroon, nyt se vain sattui olemaan listalla ylhäällä.
Jos saat haettua puhelinmuistion numerot joltakulta näitä kannattaa soitella ristiin, jolloin todennäköisyys sille, että ovat toistensa tuttuja ja kontakteissa kasvaa.

Näkyikö näytöllä soittajan numero, soittajan nimi vai kummatkin? Rosvona kattosin kuka on soittanu viimeks, lisäisin oman numeroni ko. kontaktiin, soittaisin ja puhelun jälkeen poistaisin numeron kontaktilta. Näkisköhän iPhonesta koska kontaktia on muokattu ja osuuko muokkaus soittoajankohtaan?

Muutama vuosi takaperin omassa puhelimessa, tosin Androidilla varustetussa, näytti puhelimeni eri soittajaa kun soittaja oli ja näytti myös silloin joidenkin kohdalla, jos minulla ei ollut numeroa tallennettuna, että juuri joku vasta minulle soittanut olisi soittanut.

Tähän muistaakseni liittyi useampi tili, mitä olin puhelimeen laittanut. Perustili googlella ja useampi office365-tili (koulu+työnantaja) sekä vielä taisi olla ns.virallinen siviilisähköposti live.com. Ongelma poistui, kun rukkasin asetuksia läpi ja taisin sitten poistaa toisen office365 tilin. Jotain päällekkäisyyttä niissä oli yhteystietojen ja oikeuksien osaltalta. Jätin tämän sikseen, kun ongelma poistui toimenpiteiden jälkeen. 

Minulla tosiaan teki tätä useamman kerran ja oli kaupustelijat ihmeissään kun vastasin kuin vanhalle kaverille.

Vaikka esitetyt ajatukset tahallisesta väärän numeron näyttämisestä ovat teknisesti ihan mahdollisia, löisin kuitenkin roposeni sen puolesta että kyseessä on soittajasta riippumaton "sattuma" jostakin puhelimessa/softassa/verkossa olevasta bugista johtuen. Eli puhelin on vain syystä tai toisesta näyttänyt edellisen saapuneen puhelun tiedot sen hetkisten sijaan. Tähän mielestäni viittaa etenkin se, että soitto näytti tulevan nimenomaan samasta kuin edellinen saapuneiden puheluiden lokissa. 

Spoofatut numerot ja huijauspuhelut on yleistyneet tämän vuoden aikana. Pari viikkoa sitten sain saman päivän aikana kolme huijauspuheluyritystä. Yksi tuli +44 alkuisesta numerosta toinen 016 (Lapin suuntanumero) alkuisesta ja kolmas oli 044. Saman iltapäivän aikana tulikin sitten vuokra-asunnosta kiinnostunut soittaja, jolle vastasin puhelimeen "no?!", kun aikaisemmin vastatut puhelut olivat toistaneet samaa "helou" -kaavaa häiriten työntekoa. Sai vähän kusallisesti selitellä sitten töykeää tapaa vastata puheluun. Myös mitä olen ihmisiltä kuullut ja lehdistä lukenut, nuo soitot ovat jatkuva riesa. 

Olisi mielenkiintoista tietää, että valitaanko soittoyritysten kohtee satunnaisesti vai hyödynnetäänkö tietomurtojen kautta saatua dataa. Ainakin oma maili on joutunut tietomurtojen kohteeksi. Esimerkiksi https://haveibeenpwned.com/ sivusto näyttää osan tapahtuneista tietomurrroista. Osassa tapauksista tuntuvat myös tietävän, että kenen hallinnassa puhelinnumero on. Tosin useimmissa tapauksissa tuon tiedon saaminen ei tuota vaikeuksia. 

Tänä päivänä ei kannattaisi käyttää samaa salasanaa kahdessa eri paikassa. Näiden tietomurtojen seurauksena sähköpostiin on tullut ilmoituksia, miten omaan Spotify, Netflix ja Playstation tiliin on yritetty kirjautua ja salasana vaihdettu varotoimenpiteenä. Valitettavasti kovin moni palvelu ei ole noin käyttäjäystävällinen. Kannattaa valita aina kaksivaiheinen tunnistus, jos se on mahdollista. On aivan käsittämätöntä, että esimerkiksi Nordnet tarjoaa edelleen mahdollisuutta kirjautua käyttäjätunnuksella ja salasanalla. 

En osaa sanoa aloitusviestin tapauksesta, mutta olen kuullut, että kolmannen osapuolen numeron tunnistavat sovellukset saattavat sekoilla numerotietojen kanssa näyttäen vastaanottajan väärin. Tässä tapauksessa ei varmaankaan ole kyse siitä? Voisiko olla, että jossakin vaiheessa on ollut asentuneena jokin sovellus, joka on pyytänyt lupaa yhteystietoihin ja se on sitten korkattu. Todennäköisimmin kyse on ollut jostakin bugista tai huonosta tuurista. 

JR kirjoitti:

Väärän soittajannumeron näyttäminen on "helppoa", eli mitenkään mystinen osa ei ole miten puhelu näyttää tulevan Suomesta tms vaikkei tulisikaan, eli mysteeri on juurikin, miten soittaja on osannut valita tekaistuksi numeroksi numeron, joka on sinulle tuttu.

Miten tämä tapahtuu? 

Teknokraatti kirjoitti:

 

JR kirjoitti:

Väärän soittajannumeron näyttäminen on "helppoa", eli mitenkään mystinen osa ei ole miten puhelu näyttää tulevan Suomesta tms vaikkei tulisikaan, eli mysteeri on juurikin, miten soittaja on osannut valita tekaistuksi numeroksi numeron, joka on sinulle tuttu.

 

Miten tämä tapahtuu? 

https://en.wikipedia.org/wiki/Caller_ID_spoofing

Kiitos JR. Vahvistit toteutustapaa koskevan arvioni. VoIP:ssa voi kuka tahansa näyttää mitä tahansa identiteettiä. Tuo puhelinverkkoon rakennettu "konffaa ittes miksi haluat ja soita sitten tämän numeron kautta" palvelu ilmeisesti hyödyntää verkkojen välistä reititystä, johon käsiksi pääsemällä voi vaihtaa soittajaa palvelevan verkon antaman todellisen identiteetin muuksi. 

Nyt kun keksisi vielä mitä tällä saavuttaa? 

Paljon isomman vastausprosentin vrt. tuntemattomaan numeroon

Tällä hetkellä toki käyttö on kai lähinnä se, että mainostajat, huijarit sekä asiakaspalvelukeskukset saadaan palvelemaan numeroilla vastaajan kotimaasta, jolloin soittajaan luotetaan enemmän tai ollaan tyytyväisempiä.

Mutta eiköhän tämä pian nähdä lisänä erittäin hyvin kohdistetuissa sosiaalisissa huijauksissa. Deepfake-teknologia mahdollistaa jo ihmisen puheäänen uskottavan kopioimisen reaaliajassa, alkuperäistä puhetta toki vaaditaan kai aika merkittävä näyte lähteeksi. Veikkaan, että jos jossain keskikokoisessa yrityksessä jollekin sopivasti valitulle kassanhoitajalle soitetaan tämän pomon numerosta, pomon äänellä, niin aika herkullisia tilisiirtoja voidaan saada lähtemään ja piilotettua ennen kuin asialle ehditään tehdä mitään.

Päivittämätön wordpress = tietoturvapainajainen. Automaattiset skannerit kairaa koko ajan kaikkia wp-saitteja (ja muitakin saitteja) etsien tunnettuja haavoittuvuuksia ja auto-pwnaa ne mikäli löytyy. Kun jotain uutta tulee ilmi, pitää olla aika nopea päivittämisessä. Käytännössä usein helpointa ulkoistaa tämä wp-hostaus juuri tämän takia johonkin.

Jos on ihan oikeasti halua tietää mitä jollain palvelimella on tehty ja mistä on tultu sisään niin forensiikka on ihan oma taiteenlajinsa. Palvelimesta image ja sitä tonkimaan (Esim. Volatility Windows-maailmassa on kova), mutta ihan lokeja penkomalla ja tiedostojärjestelmää tutkimallakin pääsee pitkälle. Vaatii toki perehtymistä ja osaamista. Ihan opettavaista ja mielenkiintoista hommaa