Diskussion: Spam SMS

Bästa lösningen är att ta bort ditt nummer från gula sidorna, att kolla om numret finns på darknet och nixa numret.

 

Jag vet inte vilket som är värst - spam via mobilen eller spam via eposten och emailservern. Spam via mobilen måste man ju sitta och ägna sin energi att själv tömma om man är lagd åt det hållet. Spam vi eposten och emailservern sköter ju vanligen emailservern åt mig som användare.

Antar att "gula sidorna" åsyftar ENIRO. Tror att jag raderat alla mina mobilnummer på alla söktjänster på internet samt "nixat" dom. Darknet är jag aldrig på.

Däremot misstänker jag att många mindre seriösa forum som kräver både både "legal" emailadress och ett godkänt mobilnummer säljer sina medlemmars emailadresser och mobiltelefonnummer. Det bästa vore om alla forum godkände typ "10 minuters emailadress" och fejkat mobilnummer och inloggning/registrering via TOR så skulle mycket spam undvikas.

Bäst för dagen vad beträffar email funkar faktiskt Google/Gmail och det är ju glädjande.

 

Jag håller på att jobba med en molntjänst och bästa inloggningsnamnet med tanke på tvåfaktorsautentisering är email eller mobilnummer.

Jag använder Microsoft ASP NET för det och standard är att inloggningsnamnet lagras i klartext i databasen för att det ska fungera vilket ju är idiotiskt eftersom hackare ofta lyckas lura servern så att de kan ladda ner tabellen med användarnamn och lösenord...

Jag har löst det genom att inte lagra inloggningsnamnet i klartext, det ligger lagrade i en annan tabell, de inloggningsnamn som finns lagrade i den tabellen är dessutom krypterade vilket bör göra det enormt komplicerat för en hackare att koppla email/mobilnummer till lösenorden...

Att ha tillfälliga email för att skapa inloggning för det omöjligt att hantera glömt lösenord eller att avisera användarna saker via deras email...

Det system som jag skriver behöver aviseringar den vägen annars kommer tjänsten att kräva att användarna loggar in ofta, normalt sett ska man inte behöva vara inloggad, tjänsten är inte av en sådan natur...

 

Jag är inte så säker på att jag förstår hur du menar?

Om vi börjar med email och spamutskick via emailadresser så kan man ju väldigt enkelt göra en körning på nätet och få fram att det mest vanligaste efternamnet i Sverige är > JOHANSSON. Och de mest vanligaste förnamnen är ANDERS resp ANNA.

Och de tre största emailservrarna i Sverige och Europa är Googles GMAIL, Microsofta OUTLOOK/HOTMAIL och YAHOO. Så rent statistiskt så borde de som skickar spam via email kunna pricka hyfsat rätt genom att helt enkelt välja de 100 mest populära efternamnen och de 100 mest populära förnamnen för män och kvinnor och göra massutskick till dessa eftersom rent statistiskt garanterat finns en registrerad emailadress på just dessa namn.

Lite knepigare blir det ju på mobiltelefonnummer. Men å andra sidan finns det ju mängder med försäljningssajter som än i dag öppet lägger ut säljarens mobilnummer i rent textformat. Så för den som har hyfsad datakunskap så är det väl knappast så svårt att samla in några hundra tusen mobiltelefonnummer på några dagar.

Tvåfaktorsautentisering har väl inte något över huvud taget med saken att göra om det bara är frågan att komma över massor av emailadresser och mobilnummer.

 

Så gjordes det för rätt många år sedan, jag fick spam där det skickades till väldigt många likartade adresser varav bara ett fåtal var fungerande (och jag har inte vanligt efternamn, färre än hundra personer har det efternamnet i Sverige).

Det som görs oftast (tror jag) är att man försöker lura webbsidan genom att skriva in ett meddelande som webbsidan kan tolka som instruktioner att utföra en viss sak vilket oftast handlar om att ladda ner en databastabell som heter AspNetUsers, den innehåller loginnamn (oftast mail eller mobilnummer) i klartext och ett krypterat lösenord. När den tabellen är nedladdad så har du tillgång till alla sajtens registrerade användares mailadresser eller mobilnummer, uppgifter som säljs på darkweb och som gör att du riskerar att få spam, sen kan du köra program som testar att kryptera olika sekvenser med tecken för att se om du får en match på lösenordet för varje användare (de testar tusentals lösenord per sekund och kan ganska snabbt få fram lösenordet för mer än hälften av alla användare och ju längre de orkar låta datorer försöka knäcka lösenorden desto fler lösenord knäcker de).

Så fort ett lösenord för en användare har hittats så kan de testa det lösenordet på en massa andra webbsidor, de användare som använder samma lösenord till ett flertal olika webbsidor, om du har samma lösenord på flera olika webbsidor så riskerar du att dina uppgifter kapas (enkelt att kolla om det har hänt på denna sida). Om du hittar din mailadress där så bör du definitivt överväga att byta lösenord för risken är att ditt lösenord från sidan som de hämtat tabellen hos har blivit knäckt är väldigt hög.