Wooden Rock » Разное » Флуд » Как украсть миллиард?

Страниц (1): [1]
 

1. Vital - 28 Марта, 2013 - 15:48:45 - перейти к сообщению
Вляпался я в одну интересную историю, не знаю, куда всё это заведёт, но когда на кону суммы с девятью нулями, случится может всякое. Если вы дочитаете до конца и поверите хотя бы чему-то из написанного, а тем более, если вас это тоже коснулось, сделайте перепост на другие форумы и социальные сети и опишите здесь ваш случай, мне нужно как можно больше информации для подтверждения теории.

Итак, предыстория теории заговора Подмигивание
26 марта 2013 года я, используя телефон с симкой МТС, через Opera Mini бродил по уважаемому мной сайту (не буду называть его адрес, это имеет мало значения, для информации, он находится в зоне .com, сервер в Штатах, сайт на английском). При переходе на одну из ссылок вывалился на какую-то русскоязычную страницу, даже не стал вникать, что за фигня, сделал откат. Тут же приходит СМС с предложением что-то скачать, в ней URL. У меня давно выработалась привычка сразу удалять спамерские сообщения, так что оно сразу было выкинуто в помойку. Но при этом в голове щёлкнула мысль, я сразу же проверил баланс, который показал, что с меня явно списали какую-то сумму. Для справки, если кто меня мало знает, я давно занимаюсь информационной безопасностью и паранойя крепко сидит в крови.

Вечером с компа я запросил отчёт по балансу, и что там обнаружил:
Цитата:
Доступ к услугам контент-провайдеров: SMS 54 категория 1 факт 100,4500

Цитата:
26.03.2013 15:37:09 +04:00 <--771153 sms i 1 100,4500

Всё понятно, с меня содрали деньги ни за что, я нигде не вводил свой номер телефона, не соглашался ни с чем, ничего не подписывал.

Предупреждение: если вы читаете этот текст через мобильный интернет, не открывайте следующие ссылки. Через проводной можно.

Начинаю гулить этот номер телефона, обнаруживаю, что подобные инциденты повторяются уже несколько лет, мне просто повезло, что я заметил списание денег. Вот например обсуждение: http://zvonki.octo.net/number.aspx/771154
И вот это для понимания общей картины происходящего внутри МТС: http://www.mobile-review.com/art...s-roitberg.shtml

А вот и сайт, при заходе на который через мобильный интернет вам приходит платное сообщение: http://veniam.info/ Не открывайте его с мобильного!

Что мы видим, дело поставлено с размахом:

CODE:
Стоимость услуг для абонентов МТС по номерам: 771154 - 135,47 руб с НДС, 771153 - 118,54 руб с НДС, 771152 - 101,6 руб с НДС, 771151 - 101,26 руб с НДС, 771150 - 84,67 руб с НДС, 771149 - 67,74 руб с НДС, 771148 - 44,03 руб с НДС, 771147 - 33,87 c НДС, 771146 - 33,53 руб с НДС, 771145 - 30,48 руб с НДС, 771144 - 25,41 руб с НДС, 771143 - 20,32 руб с НДС.

Информация для подписчиков ОАО «Мегафон»
Стоимость услуги составляет:
Для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): После момента регистрации на Сайте veniam.info, раз в 1 дн. 20 рублей (включая НДС).


Отказ от услуги
А) С помощью СМС команды:для Абонентов ОАО «Мегафон» (товарный знак «Мегафон»): SMS сообщение с кодом СТОП 2917 на номер 5051
Б) На странице «Управления подпиской» veniam.info , введя свой номер и нажав кнопку «Отписаться»
В) Связавшись со Службой Поддержки по тел.: 8-800-200-03-34, электронной почтой: subs@planet3.ru


Обратите внимание, обдираловка заточена на клиентов МТС и Мегафон, для МТС это разовые платежи, в Мегафон - подписка. Для большего погружения в суть погуглите указанный номер телефона 800 серии. Почта явно левая, т.к. не с этого домена, а сам сайт содержит тупые ролики, собранные с других мест, предназначенные якобы для развлечения. Код чистый, зацепиться не за что. Сайт зарегистрирован в мае 12-го года анонимно через PrivacyProtect.org, сервер находится в Германии. Итак, это купюроприёмник.

По стопам прочитанных форумов я накатал телегу в МТС с требованием разобраться, пока только получил два ответа от офисных хомячков-стрелочников, которые совсем не понимают этой темы. Обещали за неделю разобраться, вместе посмеёмся над ними Подмигивание

Вчера я проверил отчёт за больший период, с 01.08.2012 по 28.02.2013 (больше МТС не даёт, я бы проверил года за два), и что мы видим:
Цитата:

Доступ к услугам контент-провайдеров SMS Категория 904_0 20,00
Доступ к услугам контент-провайдеров. Контент категория 94 20,00
Доступ к услугам контент-провайдеров SMS Категория 915_0 220,00

Итак, с августа прошлого года по нынешний март МТС вынуло из моего кармана 360 рублей с копейками. Значит это был не единичный случай. Ещё раз повторю, с моей паранойей я не ввожу нигде свой номер телефона, никогда не отправляю СМС на короткие номера.

Теперь немного арифметики, предположим за последний год, скажем, у 10 миллионов пользователей мобильного Интернета тихо слили по 100 рублей, калькулятора не надо, чтобы понять, что эта игра будет стоит свечей. За такие деньги кто угодно не честный на руку пойдёт далеко.

Не будем задаваться вопросом, как средства с моего счёта перешли в чей-то карман, это всё бухгалтерские вопросы, зададимся вопросом "Как URL превращается в СМС"?
Контент-мошенникам нужен ваш номер телефона, чтобы заполучить деньги, что они для этого делают? Предлагают отправить СМС на короткий номер, пишут троянов, рассылают фишинговые сообщения, но тут есть проблема, народ умнеет и не попадается на эти уловки. Поэтому нужно просто исключить человеческий фактор из цепочки передачи номера телефона. И здесь меня торкнуло.

Теперь теория заговора.
Далее пойдут технические термины, но я постараюсь объяснить доходчиво. Итак, чем отличается мобильный интернет от проводного? Самое главное, что все мобильные подключения МТС проходят через одну точку доступа internet.mts.ru. Грубо говоря, это сервер, который раздаёт IP-адреса телефонам, занимается тарификацией трафика. И самое главное, он маршрутизирует весь трафик с вашего телефона во внешнюю Сеть. Не удивлюсь, если там стоит прокси-сервер. Ещё не дошло? Тогда продолжим.

Сайту-купюроприёмнику нужен наш номер, откуда он его узнает? Так как точка доступа видит весь наш трафик, то не составляет труда написать программу, которая осуществит классическую атаку man-in-the-middle. Суть атаки: на некоторые HTTP запросы, очень редко (желательно на запросы каких-нибудь картинок) в ответ отсылается редирект на сайт-купюроприёмник, т.е. ваша миниОпера добровольно пойдёт на этот сайт. Далее, программа фильтрует запрос GET с адресом купюроприёмника, подставляет в какое-нибудь поле номер телефона (я на 100% уверен, что точка доступа его знает). Теперь купюроприёмник, белый и пушистый, имеет ваш номер телефона и по цепочке B2B честно заявляет о вашем намерении посмотреть очередную хрень с их сайта и заплатить за эту услугу.

Чисто технически написание подобных программ для хорошего админа не составит никакого труда. Зададите вопрос, а как такое может быть на серверах МТС? Посмотрите ещё раз на сумму на калькуляторе, разделите её хотя бы на тысячу и сопоставьте с зарплатой админа. Вообще, вся эта атака может быть осуществлена одним человеком, но лучше иметь крышу в бухгалтерии, службе информационной безопасности или ещё где-то выше (прочитаем ещё раз статью про контентные новости).

Всё это выглядит настолько просто, что пугающе правдоподобно. Итак, факт есть, нас обворовывают, причём нагло и не первый год. Абоненская служба по запросу возвращает деньги, но сколько людей не обращается? Я не удивлюсь, что с корпоративных телефонов многих клиентов уходят большие суммы, они их просто не замечают. Теперь вопрос, почему служба информационной безопасности не реагирует на эту проблему? Почему адреса купюроприёмников не заблокированы на DNS серверах МТС? Кому это выгодно? Посмотрите ещё раз на калькулятор.

Что делать? Рекомендации.
Кроме обычной рекомендации не вводить свой номер телефона нигде и не посылать сообщения на короткие номера добавлю:
- полностью откажитесь от использования мобильного интернета, как минимум, напрямую с телефона;
- если мобильный инет нужен, то используйте только защищённые соединения (HTTPS, виртуальные сети) с хорошей шифрацией, это полностью исключит описанную атаку;
- проверьте отчёт по балансу своего телефона, при нахождении любого платного СМС пишите на адреса абонентской службы. Лучше грубо, матом, на несколько адресов, добавьте ещё адреса топ-менеджмента, пошевелите их, деньги вернут.


Я любил МТС, это самый крутой оператор, я с ним больше 12 лет, но если друг тырит у тебя из кармана сотенные купюры, то как минимум, ему надо набить морду. Здесь я сделал проще, я отказался от всех платных услуг на телефоне, отключил безлимитный Интернет. Лимита в -3000 руб. мне хватит где-то на год, даже если звонить как обычно. Если использовать номер только для входящих, а для исходящих купить Теле2, то МТС будет бесплатно обеспечивать меня мобильной связью ещё лет 5. Модем МТС будет пылиться на полке, на всякий случай есть ещё старенький модем Skylink.

В заключении, если на мои запросы в МТС последует блокировка моего номера, уменьшение лимита или просто описки от хомячков с возвратом денег, то моя теория окажется верной.

--
Vital
2. ShuraY - 28 Марта, 2013 - 17:27:07 - перейти к сообщению
Ну шож, спасибо за подробности.
Думаю если ты не будешь пытаться поднять бучу за всех, то ничего с тобой делать не будут, акромя возврата денег, а вот если шире будешь идти, то возможны варианты )
Выбор за тобой. Подмигивание

Вот подобный случай , но ты разобрал свой подробней.

У нас вообще страна не пуганных идиотов, как в фильме "Гений" Улыбка
Что там у нас с так горячо любимыми Вконтакте, Mail.ru, Yandex.ru, как они авторизуют своих любимых клиентов, по какому соединению? Правильно, не шифрованному, со всеми вытекающими.
И это столпы нашего инет бизнеса!
3. Vital - 05 Апреля, 2013 - 00:05:24 - перейти к сообщению
Как и ожидалось, я получил обратно 118.53 руб и мне насильно подключили услугу "Запрет контента".
Никаких официальных ответов по почте не последовало, что ещё больше подтверждает мою теорию.

Далее, народ на форумах описывает страшилки, что такие же случаи происходили при заходе на другие сайты через модемы и Wi-Fi - роутеры МТС.

Проверив состоявшиеся разговоры за период с 04.10.2012 по 04.04.2013 (большего получить не удаётся), я обнаружил такие записи:

Цитата:
14.02.2013 22:26:25 +04:00 <--+7904******* Телеф. 3:21 0,0000
15.02.2013 2:09:15 +04:00 internet.mts.ru Домашний макрорегион.Тверь HSDPA (3G) 3210Kb 0,0000
15.02.2013 4:15:53 +04:00 <--770246 sms i 1 93,2200
15.02.2013 4:16:06 +04:00 internet.mts.ru Домашний макрорегион.Тверь HSDPA (3G) 961Kb 0,0000
15.02.2013 11:00:10 +04:00 <--+7902*******

19.02.2013 20:24:19 +04:00 <--+7904******* Телеф. 0:37 0,0000
20.02.2013 1:29:28 +04:00 <--770246 sms i 1 93,2200
20.02.2013 1:29:33 +04:00 <--111 sms i 1 0,0000
20.02.2013 1:29:47 +04:00 internet.mts.ru Домашний макрорегион.Тверь HSDPA (3G) 537Kb 0,0000
20.02.2013 1:41:10 +04:00 internet.mts.ru Домашний макрорегион.Тверь HSDPA (3G) 1525Kb 0,0000
20.02.2013 10:58:11 +04:00 <--+7903******* sms i 1 0,0000


Что полностью повторяет случай моего первого обращения. И подтверждает, что эти СМС приходят во время пользования мобильным интернетом. Я накатал ещё письма в абонентский отдел с требованием вернуть эти суммы и прокомментировать мою статью, которую вы уже прочитали. Ждём ответной реакции.
4. rass - 05 Апреля, 2013 - 10:08:16 - перейти к сообщению
Vital
Теперь научись сам зарабатывать деньги на таких расследованиях Подмигивание
5. Vital - 05 Апреля, 2013 - 16:21:35 - перейти к сообщению
rass пишет:
Теперь научись сам зарабатывать деньги на таких расследованиях

Да, стать одним из них на полставки Ниндзя
6. nikeriol - 05 Апреля, 2013 - 23:20:25 - перейти к сообщению
Ну что я могу сказать - та же фигня в профиль!
На мегафоне тупо подписка по 20 р в день. отключил. хорошо связь корапаративная - не жалко.
7. Vital - 11 Апреля, 2013 - 23:30:02 - перейти к сообщению
Цитата:
Уважаемый клиент!
По вашему обращению произведён возврат средств в сумме 219.9992 руб. Подписка отменена. Рекомендуем добавить услугу "Запрет контента". С Уважением, ОАО МТС


После получения такого шаблонного СМС и нулевой реакции на мои письма со стороны менеджмента компании уровня выше офисных хомячков, можно сделать вывод, что моя теория верна на 99.92% Крутой

Ещё одна история, близкая к этой, она показывает, как работает компания, у которой есть лицо.

Я поместил на avito.ru объявление о продаже электронного девайса, который мне стал не нужен (ну вы знаете про него). Через три дня приходит СМС о том, что мол на моё объявление пришли отклики и дан адрес www.tech.avito-helper.ru. Естественно, сайт оказался фишинговым, самый прикол, что они хотели получить от меня номер телефона, якобы по СМС придут дальнейшие инструкции по входу на сайт.
Ну мы люди уже обученные, whois (сервис получения информации по доменным именам) показал, что avito-helper к настоящему avito не имеет никакого отношения. Пишу на сайте avito.ru телегу, что за фигня мне пришла? Через 20 минут приходит ответ от службы поддержки с запросом технических данных по СМС (номера куда, откуда, текст и т.п.), ещё через полтора часа (в два ночи) приходит благодарность за предоставленную информацию. Итог: домена avito-helper.ru в рунете больше нет. Ура!

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0273]     [ Gzipped ]