- PVSM.RU - https://www.pvsm.ru -

МТС окончательно развязало руки мобильным мошенникам

Я знаю, тема уже не новая, об этом не раз уже писали (например, здесь [1]), но на этот раз мошенники пошли ещё дальше — теперь чтобы подписаться на платную услугу не нужно открывать никаких ссылок из SMS, а достаточно просто кликнуть на рекламный банер в приложении (в ближайшей перспективе даже это может быть не обязательно). В данном посте речь пойдёт о новой мошеннической партнёрской сети PhoneClick [2]. В зоне риска находятся все абоненты МТС, пользующиеся смартфонами и планшетами с 3G-интернетом на платформах Android и iOS (пруф-линк, что iOS тоже [3]). Разумеется, всё это стало возможным не без помощи со стороны МТС, который до предела упростил жизнь контент-провайдерам, и чтобы не утонуть в судебных исках, МТС имеет услугу "запрет контента [4]". Правда услуга эта не публичная, подключить её через интернет-помощник нельзя, для этого необходимо звонить оператору в техподдержку по 0890 или приходить лично в офис МТС. А ещё лучше оформить доп. соглашение [5] на запрет подключения каких-либо услуг без письменного заявления от абонента, чтобы уж наверняка.

Я знал и раньше об услуге «Запрет контента», но не спешил её подключать, т.к. считал, что эта услуга предназначена для малограмотных людей, которые не думая отправляют SMS на короткие номера или выполняют USSD-запросы, описанные в сомнительных SMS. У меня ни разу в жизни не было проблем с этим, поэтому я считал, что это меня не касается, но я ошибался, т.к. на днях я с этим столкнулся. И забегая вперед, хочу сказать, что «запрет контента» необходимо подключить всем абонентам МТС, которые имеют подключенный интернет через 3G, и подключить его лучше заранее, лучше прямо сейчас, не откладывая. Потому что иного способа не пострадать от мошенников не осталось — это лишь вопрос времени. Вот как было дело у меня.

Я установил на свой Android-смартфон детское приложение, которое представляло собой хорошо нарисованного рыжего кота, которого можно было гладить по голове, щекотать за живот, чистить ему зубы, а кроме этого он повторял всё им услышанное смешным голосом. Приложение было бесплатным, в списке требуемых привилегий не было ничего криминального, имело более 10 миллионов загрузок, оценки пользователей были сплошь положительными (4-5 баллов), разработчик отмечен гуглом как «Лучший разработчик». Вроде бы можно не ждать от такого приложения какой-либо подставы?

image

Какое-то время мой трехлетний ребенок с удовольствием играл в эту игру, но позавчера я запустил игру с выключенным WiFi (но включенным 3G) и сразу обратил внимание на то, что в игре появилась банерная реклама, которой раньше не было. Ребёнок играл с телефоном при мне и я не выпускал телефон из виду. Через несколько минут на телефон пришло 2 SMS с номера 770535. В первом сообщалось о том, что услуга Подписка «Метеопрогноз для женщин» подключена, что первые 7 дней будут бесплатны, а затем с меня будут брать по 5 рублей в сутки, для управления платными услугами нужно было нажать *152#вызов. Во втором SMS был собственно сам метео-прогноз на завтра для Москвы (хотя сам я из другого города).

МТС окончательно развязало руки мобильным мошенникам

Я сперва решил, что это либо ошибка, либо какой-то развод, т.к. ни на какую услугу я не подписывался. SMS скорее всего отправлены не оператором, а через SMS-гейт, а подвох может быть в том USSD-запросе. Там было сказано, что этот USSD-запрос бесплатен, но нельзя же верить тому, что написано в SMS-сообщении, полученном от непоймикого! Тем не менее я всё же решил проверить и через интернет-помощник сделал запрос детализации — никаких исходящих SMS в тот день не было. В списке подключенных услуг в интернет-помощнике тоже не было ничего лишнего. Я почти было успокоился, но нашел другой сайт МТС (спрятанный в «Ещё»), на котором отдельно можно управлять подписками на услуги контента — moipodpiski.mts.ru [6]. И там я нашел, что у меня действительно подключена платная услуга Метеопрогноз по SMS. Я был шокирован: КАК?! Стал копаться в интернете и нарыл статью о новой изначально мошеннической партнёрской сети PhoneClick [7], которая появилась в июле 2012 года и как раз специализируется на платных подписках всего за 1 клик и без использования SMS.

Пока я ждал ответа оператора техподдержки МТС, я прокручивал в голове то, как сын играл с телефоном и предположил, что ребенок возможно нажал на один из тех банеров в игре. Помню был какой-то непонятный момент, когда игра подвисла и как будто чего-то ждала, я только нажал на телефоне кнопку «Назад», после чего игра продолжилась. Я даю руку на отсечение, что там не было никакой страницы с условиями и ни на какие кнопки на экране никто не нажимал. По всей видимости, приложение сделало это каким-то образом само в автоматическом режиме. Мне ещё повезло, что меня подписали на услугу, которая имеет бесплатный период, что моя подозрительность меня не подвела и я вовремя принял меры. Но могло быть и иначе, с меня могли сразу списать рублей 300, к примеру, и мне бы предстояло доказывать МТС, что я не верблюд. Общение с оператором техподдержки свелось к тому, что у них всё законно, что ни с какими мошенниками они не сотрудничают, от платной услуги меня отписали и подключили мне услугу «запрет контента», чтобы это не повторилось в будущем. Хотя это обязательно повторится с кем-то из других 100 миллионов их абонентов. Причём, всё описанное здесь касается исключительно оператора МТС, у других операторов требования к подпискам более жесткие, но это скорее вопрос времени, а не какой-то принципиальной позиции. Все сотовые операторы получают немалую прибыль от этого дополнительного источника дохода, и по своей воле они от него не откажутся. Таким образом МТС одной рукой создаёт своим абонентам проблемы, а другой рукой их решает и имеет с этого неплохой навар.

Как же такое стало возможным?

Не так давно (затрудняюсь сказать точно) МТС внедрило какой-то новый внутренний сервис, который позволил телефонным мошенникам контент-провайдерам, подписывать своих абонентов на платные услуги через интернет с подтверждением подписки также через интернет. Человек заходит на какой-то сайт, выбирает какую-то услугу, открывается страница с условиями и стоимостью (landing page), после чего пользователь нажимает «OK» в знак согласия и услуга подключается. Для МТС вход на сайт контент-провайдера через 3G с SIM-карты абонента является достаточным признаком того, что эти действия совершает сам пользователь, а не кто-либо другой. Но в МТС не могли не понимать того, что на сайт может зайти не сам пользователь, а какая-нибудь установленная на его телефоне программа. И мошенники, такие нехорошие, взяли и воспользовались данной уязвимостью, которую им любезно предоставила МТС. Доступ в интернет сейчас имеют 99% мобильных приложений Android/iPhone, и быть уверенным в порядочности всех разработчиков просто невозможно. К тому же приложения используют этот механизм не напрямую, а через партнёрскую сеть PhoneClick, которую разработчики встраивают в свои приложения для монетизации наравне со стандартной банерокрутилкой AdMob от Google, и могут просто не знать о том, что PhoneClick использует какие-то нелегальные методы. Так что винить разработчиков приложений, которые используют данную партнёрку, тоже не совсем правильно. Корень зла находится в МТС, а PhoneClick и вредоносные программы — это уже ветки.

МТС оправдывается тем, что:

  1. Пользователю показывается страница с условиями платности и у пользователя есть возможность отказаться. Как я лично сумел убедиться, мошенники успешно обходят это ограничение, либо выводят информацию о платности услуги мелким шрифтом бледного цвета.
  2. При подписке абоненту приходит SMS. Вот только приходит она после подключения услуги в начале её предоставления. Поэтому деньги могут списывать сразу по факту первой полученной SMS, а она приходит одновременно с SMS о подключении услуги. Бесплатный период — это опция, а не правило.
  3. Размеры единовременных платежей не превышают 300 рублей. Ага, это такая психологическая сумма, из-за потери которой абонент вряд ли пойдет подавать на сотового оператора в суд. Покричит, покричит, да успокоится. Уходить к другому оператору бессмысленно, у других то же самое.

На мой взгляд в действиях МТС есть признаки нарушения законодательства, но я не юрист, и не могу четко сформулировать что именно они нарушают. Дело в том, что они вынесли криминальную составляющую на аутсорсинг и сами как бы не при делах. Конкретные факты мошенничества осуществляются со стороны приложений, использующих PhoneClick. При этом установить кто именно ответственен за мошенничество (разработчик приложения или разработчик PhoneClick) без декомпиляции и реверсивного инжиниринга невозможно. Каждый из участников этой схемы в отдельности не совершает действий, тянущих на полноценный состав преступления. Преступление совершается в результате совокупного действия участников, которые между собой не знакомы, и поймать их за руку практически невозможно.

По сути поведение МТС можно сравнить с тем, как если бы банк принимал деньги вкладчиков на депозитные счета и выбрасывал бы пароли от их интернет-банков в мусорный контейнер на улице. И когда клиенты стали жаловаться на то, что кто-то украл их деньги, банк искренне удивляется и говорит: «ух-ты! действительно украли! лови вора!», но при этом ничего не меняет в своей работе, а всем пострадавшим клиентам обещает, что конкретно с их счетом такое больше не повторится.

Я в любом случае направлю по этому поводу жалобу на МТС в Роспотребнадзор, а там буду думать можно ли каким-то образом обязать МТС отменить такой способ подписки на платные услуги в судебном порядке.

Автор: gugglegum

Источник [8]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/18736

Ссылки в тексте:

[1] здесь: http://habrahabr.ru/post/136148/

[2] PhoneClick: http://phoneclick.ru

[3] пруф-линк, что iOS тоже: http://netler.ru/ipad/mwap-phoneclick.htm

[4] запрет контента: http://www.mts.ru/entertainment/short_voice/

[5] доп. соглашение: http://habrahabr.ru/post/134369/

[6] moipodpiski.mts.ru: http://moipodpiski.mts.ru

[7] мошеннической партнёрской сети PhoneClick: http://www.cnews.ru/news/top/index.shtml?2012/10/02/505096

[8] Источник: http://habrahabr.ru/post/157161/