суббота, 20 апреля 2019 г.

Как Мегафон спалился на мобильных подписках

Уже давно как не смешные анекдоты ходят истории о платных мобильных подписках на IoT устройствах. 


С Пикабу

Всем понятно, что без действий сотовых операторов эти подписки не обходятся.

Но операторы сотовой связи упорно утверждают, что это абоненты лохи:


оригинал

За много лет я ни разу не подхватывал эту заразу и, даже думал, что люди так попадают из-за своей компьютерной безграмотности. Но я ошибался…

Недавно, расшарив интернет с Мегафона, я сидел и тихо работал за компом до тех пор, пока при переходе по очередной ссылке в гугле не произошёл редирект 



и мне открылось вот такое окно



Разумеется, меня одолел профессиональный интерес. 

Я сразу понял, что это оно! То самое, о чём так часто пишут и меня сейчас попытаются развести на деньги.

Мелкий серый текст окна
На сайте представлены материалы в следующих рубриках: аудио-приколы, видео, картинки, музыка, поздравления, полезные статьи, рецепты, советы, толкование фамилий, цитаты и афоризмы, прогноз погоды.

Но в нём ничего не сказано о платных подписках… 

Так как у меня на счету этого телефона 0 рублей и нет всяких «Кредитов доверия», то я нажал кнопку «Продолжить». 


Произошёл редирект на другую страницу. Оформление очень схожее с первой



Обычный человек не заострит на этом внимание и подумает, что содержимое осталось такое же. 
Но серый, еле заметный текст совершенно другой:

Нажатием на кнопку «Продолжить» Вы подтверждаете своё согласие с подключением подписки vsewap.ru и Условиями предоставления подписки. Стоимость подписки 35.0 руб. с учетом НДС за 1 день. Оплата производится с основного счета. Услуга предоставляется Контент-провайдером ООО Информпартнер.
Продолжаю эксперимент и жму «Продолжить». И прилетает SMS…


подписка оформлена! Разумеется, что я сразу её отключил.

Как большинство думает в таких случаях, что у меня, наверняка, вирус на компе и он меня редиректнул на сайт контент-провайдера. 

Но в данном случае делает редирект именно Мегафон по той же технологии которая Вас редиректит в случае каких либо ограничениях интернета либо применяется wap-click. К сожалению более точно сказать не могу.



С такими редиректами сталкиваются и корпоративные пользователи:



Ищу место откуда растут «ноги»:


Проверяю кому принадлежит домен, сайт на котором меня хочет «развести»:



Как неожиданно! Домен принадлежит Мегафону! 
И такое совпадение, что ip вэб-сервера тоже принадлежит Мегафону 

nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226

inetnum:        31.173.32.0 - 31.173.39.255
netname:        MF-MOSCOW-BBA-POOL-31-173-32
descr:          Moscow Branch of OJSC MegaFon
role:           Moscow Branch of PJSC MegaFon Internet Center

Можно предположить, что кто-то из клиентов Мегафона занимается мошенничеством и просто подставляет честного оператора. 

Поверяем сайт, который позволяет управлять подписками всех известных Мегафону контент-провайдеров moy-m-portal.ru 

Он так же принадлежит мегафону
И он так же расположен на тех же ip, что и сайт мошенников!

Предположим, что оператор использует балансировщик класса Citrix Netscaler, который, например, подставляет ID абонента для его идентификации. 
Смотрим какие ещё домены были замечены на этих адресах:

dnslytics.com/reverse-ip/31.173.34.226
dnslytics.com/reverse-ip/31.173.34.227
А их всего 19!

Что-то слишком жидко для дорогущего оборудования…

Большинство зарегистрировано в марте 2019 («created: 2019-03-20»)

Заходя на любой из них, Google Chrome сообщает, что у Вас могут украсть деньги:



То есть все домены, принадлежащие Мегафону, замечены в мошеннических действиях с платными подписками!

А мы хорошо помним, что по Российскому праву (ситуация с создателем Kate Mobile) ответственность за действия, произведённые с конкретного ip несёт владелец IP. А тут ещё совпадает и владелец домена…

Я решил посмотреть на сайты, на которые подписывает Мегафон (из списка, размещённого здесь: moy-m-portal.ru ). Конечно не все, а с благословения великого Рандома.

Сайты, за которые зацепился глаз

Итого:

  1. Все они зарегистрированы у регистратора REG.RU
  2. У всех скрыта организация-владелец
  3. Все они свежие. Точнее новые появляются с завидной регулярностью. (можно отследить даже хронологию).

На всех сайтах в футере как по шаблону один и тот же текст

И офер везде одинаковый vk-vid.com/site/offer

Ну не может быть, что сотни сайтов созданы только ради абонентов Мегафона! А если клиент Билайна захочет получить этот контент?..

Слишком много совпадений…

В последнее время если абонент жалуется в тех.поддержу из-за того, что у него списали деньги за левую подписку, то ему эти деньги возвращают. 

Так вот если бы деньги перечислялись левым контент-провайдерам, то сотовый оператор не стал бы из своего кармана отдавать абоненту деньги! Мегафон боится, что если начнутся массовые жалобы в правоохранительные органы, то рано или поздно такие действия квалифицируют по 159 УК РФ. И никакого ООО «Инфопартнёра» в этой цепочке не будет! Дешевле заткнуть возмущённых в самом начале.

Установка всяких защит от подписок на Мегафоне — не помогает



Таким образом Мегафон даже не пытается скрыть, что это они обманом подписывают абонентов на дорогущий говно-контент… 

Подпишут 200 000 человек на рассылку в 35 рублей. 100 000 возмутятся и они им вернут деньги на счёт. С остальных 3,5 ляма в сутки в бюджет компании…

В данном случае я изучил поведение одного оператора связи — Megafon. Но, судя по отзывам, таким промышляют все операторы РФ (кроме YotaRussia ).

Зайдя на сайт специализированного хостинга для таких сайтов мы увидим в партнёрах тех, кого мы знаем и «любим»

nslookup zvoook.com

image

Получается, что это организованное преступное сообщество, занимающееся мошенничеством в особо крупных масштабах?

P.S.: Эта статья является агрегированной с моих двух на Пикабу: Раз и Два.

Комментариев нет:

Отправить комментарий