Итак, предыстория теории заговора
26 марта 2013 года я, используя телефон с симкой МТС, через Opera Mini бродил по уважаемому мной сайту (не буду называть его адрес, это имеет мало значения, для информации, он находится в зоне .com, сервер в Штатах, сайт на английском). При переходе на одну из ссылок вывалился на какую-то русскоязычную страницу, даже не стал вникать, что за фигня, сделал откат. Тут же приходит СМС с предложением что-то скачать, в ней URL. У меня давно выработалась привычка сразу удалять спамерские сообщения, так что оно сразу было выкинуто в помойку. Но при этом в голове щёлкнула мысль, я сразу же проверил баланс, который показал, что с меня явно списали какую-то сумму. Для справки, если кто меня мало знает, я давно занимаюсь информационной безопасностью и паранойя крепко сидит в крови.
Вечером с компа я запросил отчёт по балансу, и что там обнаружил:
Цитата:
Доступ к услугам контент-провайдеров: SMS 54 категория 1 факт 100,4500
Цитата:
26.03.2013 15:37:09 +04:00 <--771153 sms i 1 100,4500
Всё понятно, с меня содрали деньги ни за что, я нигде не вводил свой номер телефона, не соглашался ни с чем, ничего не подписывал.
Предупреждение: если вы читаете этот текст через мобильный интернет, не открывайте следующие ссылки. Через проводной можно.
Начинаю гулить этот номер телефона, обнаруживаю, что подобные инциденты повторяются уже несколько лет, мне просто повезло, что я заметил списание денег. Вот например обсуждение: http://zvonki.octo.net/number.aspx/771154
И вот это для понимания общей картины происходящего внутри МТС: http://www.mobile-review.com/art...s-roitberg.shtml
А вот и сайт, при заходе на который через мобильный интернет вам приходит платное сообщение: http://veniam.info/ Не открывайте его с мобильного!
Что мы видим, дело поставлено с размахом:
CODE:
Стоимость услуг для абонентов МТС по номерам: 771154 - 135,47 руб с НДС, 771153 - 118,54 руб с НДС, 771152 - 101,6 руб с НДС, 771151 - 101,26 руб с НДС, 771150 - 84,67 руб с НДС, 771149 - 67,74 руб с НДС, 771148 - 44,03 руб с НДС, 771147 - 33,87 c НДС, 771146 - 33,53 руб с НДС, 771145 - 30,48 руб с НДС, 771144 - 25,41 руб с НДС, 771143 - 20,32 руб с НДС.
Информация для подписчиков ОАО «Мегафон»
Стоимость услуги составляет:
Для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): После момента регистрации на Сайте veniam.info, раз в 1 дн. 20 рублей (включая НДС).
Отказ от услуги
А) С помощью СМС команды:для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): SMS сообщение с кодом СТОП 2917 на номер 5051
Б) На странице «Управления подпиской» veniam.info , введя свой номер и нажав кнопку «Отписаться»
В) Связавшись со Службой Поддержки по тел.: 8-800-200-03-34, электронной почтой: subs@planet3.ru
Информация для подписчиков ОАО «Мегафон»
Стоимость услуги составляет:
Для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): После момента регистрации на Сайте veniam.info, раз в 1 дн. 20 рублей (включая НДС).
Отказ от услуги
А) С помощью СМС команды:для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): SMS сообщение с кодом СТОП 2917 на номер 5051
Б) На странице «Управления подпиской» veniam.info , введя свой номер и нажав кнопку «Отписаться»
В) Связавшись со Службой Поддержки по тел.: 8-800-200-03-34, электронной почтой: subs@planet3.ru
Обратите внимание, обдираловка заточена на клиентов МТС и Мегафон, для МТС это разовые платежи, в Мегафон - подписка. Для большего погружения в суть погуглите указанный номер телефона 800 серии. Почта явно левая, т.к. не с этого домена, а сам сайт содержит тупые ролики, собранные с других мест, предназначенные якобы для развлечения. Код чистый, зацепиться не за что. Сайт зарегистрирован в мае 12-го года анонимно через PrivacyProtect.org, сервер находится в Германии. Итак, это купюроприёмник.
По стопам прочитанных форумов я накатал телегу в МТС с требованием разобраться, пока только получил два ответа от офисных хомячков-стрелочников, которые совсем не понимают этой темы. Обещали за неделю разобраться, вместе посмеёмся над ними
Вчера я проверил отчёт за больший период, с 01.08.2012 по 28.02.2013 (больше МТС не даёт, я бы проверил года за два), и что мы видим:
Цитата:
Доступ к услугам контент-провайдеров SMS Категория 904_0 20,00
Доступ к услугам контент-провайдеров. Контент категория 94 20,00
Доступ к услугам контент-провайдеров SMS Категория 915_0 220,00
Доступ к услугам контент-провайдеров SMS Категория 904_0 20,00
Доступ к услугам контент-провайдеров. Контент категория 94 20,00
Доступ к услугам контент-провайдеров SMS Категория 915_0 220,00
Итак, с августа прошлого года по нынешний март МТС вынуло из моего кармана 360 рублей с копейками. Значит это был не единичный случай. Ещё раз повторю, с моей паранойей я не ввожу нигде свой номер телефона, никогда не отправляю СМС на короткие номера.
Теперь немного арифметики, предположим за последний год, скажем, у 10 миллионов пользователей мобильного Интернета тихо слили по 100 рублей, калькулятора не надо, чтобы понять, что эта игра будет стоит свечей. За такие деньги кто угодно не честный на руку пойдёт далеко.
Не будем задаваться вопросом, как средства с моего счёта перешли в чей-то карман, это всё бухгалтерские вопросы, зададимся вопросом "Как URL превращается в СМС"?
Контент-мошенникам нужен ваш номер телефона, чтобы заполучить деньги, что они для этого делают? Предлагают отправить СМС на короткий номер, пишут троянов, рассылают фишинговые сообщения, но тут есть проблема, народ умнеет и не попадается на эти уловки. Поэтому нужно просто исключить человеческий фактор из цепочки передачи номера телефона. И здесь меня торкнуло.
Теперь теория заговора.
Далее пойдут технические термины, но я постараюсь объяснить доходчиво. Итак, чем отличается мобильный интернет от проводного? Самое главное, что все мобильные подключения МТС проходят через одну точку доступа internet.mts.ru. Грубо говоря, это сервер, который раздаёт IP-адреса телефонам, занимается тарификацией трафика. И самое главное, он маршрутизирует весь трафик с вашего телефона во внешнюю Сеть. Не удивлюсь, если там стоит прокси-сервер. Ещё не дошло? Тогда продолжим.
Сайту-купюроприёмнику нужен наш номер, откуда он его узнает? Так как точка доступа видит весь наш трафик, то не составляет труда написать программу, которая осуществит классическую атаку man-in-the-middle. Суть атаки: на некоторые HTTP запросы, очень редко (желательно на запросы каких-нибудь картинок) в ответ отсылается редирект на сайт-купюроприёмник, т.е. ваша миниОпера добровольно пойдёт на этот сайт. Далее, программа фильтрует запрос GET с адресом купюроприёмника, подставляет в какое-нибудь поле номер телефона (я на 100% уверен, что точка доступа его знает). Теперь купюроприёмник, белый и пушистый, имеет ваш номер телефона и по цепочке B2B честно заявляет о вашем намерении посмотреть очередную хрень с их сайта и заплатить за эту услугу.
Чисто технически написание подобных программ для хорошего админа не составит никакого труда. Зададите вопрос, а как такое может быть на серверах МТС? Посмотрите ещё раз на сумму на калькуляторе, разделите её хотя бы на тысячу и сопоставьте с зарплатой админа. Вообще, вся эта атака может быть осуществлена одним человеком, но лучше иметь крышу в бухгалтерии, службе информационной безопасности или ещё где-то выше (прочитаем ещё раз статью про контентные новости).
Всё это выглядит настолько просто, что пугающе правдоподобно. Итак, факт есть, нас обворовывают, причём нагло и не первый год. Абоненская служба по запросу возвращает деньги, но сколько людей не обращается? Я не удивлюсь, что с корпоративных телефонов многих клиентов уходят большие суммы, они их просто не замечают. Теперь вопрос, почему служба информационной безопасности не реагирует на эту проблему? Почему адреса купюроприёмников не заблокированы на DNS серверах МТС? Кому это выгодно? Посмотрите ещё раз на калькулятор.
Что делать? Рекомендации.
Кроме обычной рекомендации не вводить свой номер телефона нигде и не посылать сообщения на короткие номера добавлю:
- полностью откажитесь от использования мобильного интернета, как минимум, напрямую с телефона;
- если мобильный инет нужен, то используйте только защищённые соединения (HTTPS, виртуальные сети) с хорошей шифрацией, это полностью исключит описанную атаку;
- проверьте отчёт по балансу своего телефона, при нахождении любого платного СМС пишите на адреса абонентской службы. Лучше грубо, матом, на несколько адресов, добавьте ещё адреса топ-менеджмента, пошевелите их, деньги вернут.
Я любил МТС, это самый крутой оператор, я с ним больше 12 лет, но если друг тырит у тебя из кармана сотенные купюры, то как минимум, ему надо набить морду. Здесь я сделал проще, я отказался от всех платных услуг на телефоне, отключил безлимитный Интернет. Лимита в -3000 руб. мне хватит где-то на год, даже если звонить как обычно. Если использовать номер только для входящих, а для исходящих купить Теле2, то МТС будет бесплатно обеспечивать меня мобильной связью ещё лет 5. Модем МТС будет пылиться на полке, на всякий случай есть ещё старенький модем Skylink.
В заключении, если на мои запросы в МТС последует блокировка моего номера, уменьшение лимита или просто описки от хомячков с возвратом денег, то моя теория окажется верной.
--
Vital