Тематичні злодії в будь-яку дірку пролізуть. На щастя, їх підводить жадібність, і після широкомасштабного «набігу» на гаманці лазівку забивають, а вкрадені гроші повертають. Чергове підтвердження того, що до законодавства в області мобільного контенту у нас все погано.
Точніше, не погано, а взагалі ніяк. Ефективних інструментів впливу немає, а існуючими ніхто не хоче користуватися. Мороки багато, результативність низька, правоохоронцям возитися нецікаво. А іншим невигідно.
На цей раз «вушком голки» для «контентного верблюда» виявився універсальний портал для роботи з повідомленнями та соціальними мережами UMS (Unified Messaging Solution), запущений в експлуатацію в грудні минулого року, тобто менше трьох місяців тому. Одним з ключових переваг сервісу є повнофункціональна робота з SMS-повідомленнями: з web-порталу або спеціального додатка можна відправляти SMS зі свого номера, налаштовувати фільтри і т. П. Вхідні SMS теж дублюються і зберігаються, на них можна відповідати прямо з web-інтерфейсу і, при бажанні, повний архів повідомлень залишається у вас, що буває корисно при зміні апарату. Наш огляд цієї платформи можна почитати тут , Ключова для сьогоднішнього розбору цитата:
Коротше кажучи, в сервісі UMS реалізували зручну для абонента і прогресивну схему реєстрації користувача: при заході на портал UMS реєстрація відбувається автоматично після введення номера телефону і пароля до Сервіс-Гідові. Юридично це цілком допустимо, так як послуга безкоштовна, плюс усвідомлена дія користувача (реєстрація на порталі з введенням пароля) присутній. Наприклад, багато в чому схожий по функціоналу платний сервіс SMS + необхідно попередньо підключити через системи самообслуговування. А з UMS користувачеві вирішили полегшити життя, не потрібно підключати ніяких послуг ні USSD-командою, ні через Сервіс-Гід. Що, безперечно, підвищило «дружелюбність» сервісу, але створило додаткові можливості для зловмисника.
подія
Вдень 4-го квітня отримав сердитого листа з докладним описом матеріалізувати на номері підписки. Цитати з дозволу автора:
Підбирати пароль до Сервіс-Гідові дійсно майже марно. Крім капчи на вході, там передбачені різноманітні обмеження на кількість спроб і, напевно, всі інші системи безпеки. На моїй пам'яті, процедури входу перероблялися і «допілівать» разів зо три, причому це тільки помітні зовні доопрацювання.
Тому я припустив або все-таки крадіжку паролів трояном, або підбір пароля через вхід на портал UMS. Капчі там не передбачено, що сильно полегшує «автоматизацію» підбору пароля до номеру. Або, що вірогідніше, підбір телефонного номера до певного паролю. Шахраєві адже все одно, з якими номерами телефонів «працювати», а прості паролі виду 123456 використовують тисячі, якщо не десятки-сотні тисяч абонентів.
Хронологія
Покопався в інтернеті і виявив цілу колекцію однакових скарг на підключення «лівої» підписки з повним збігом всіх ознак. Починаючи від надходження SMS «Ваш профіль використана для входу на web-портал https: //messages.megafon.ru ...» і закінчуючи всіма іншими атрибутами, аж до загального «контентного партнера» (сайт www. Spinyla.net). Час подій теж приблизно збігалося: від пізнього вечора 3-го до раннього ранку 4-го квітня.
Географія - найрізноманітніша: Москва, Санкт-Петербург, Красноярськ, Поволжі. В одному випадку «постраждали» всі чотири телефонних номери в родині, що побічно вписується в припущення про автоматизований переборі: або одночасно купувалися «сусідні» номера, або, що більш імовірно, на всіх чотирьох номерах використовувався один загальний пароль для Сервіс-Гіда.
Днем четвертого квітня узагальненої інформації ще не було, і абонентські служби віщали хто на що здатний. Від «Ви самі підписалися!», До «Переконайтеся в тому, що ніхто не знає ваш пароль в Сервіс-Гід». Треба думати, що однакові скарги запустили механізм з'ясування причин і вжиття заходів, ближче до вечора з'явилася визначеність у відповідях.
Вранці 5-го квітня на сайті Мегафона з'явилося повідомлення про «профілактичні роботи» і обмеженнях у функціонуванні інших додатків, пов'язаних з використанням Сервіс-Гіда. Збіги бувають, але більше схоже не на «профілактичні», а терміново-аварійні «роботи» з ліквідації уразливості.
До вечора 5-го квітня епопея з контентним зломом благополучно (сподіваюся) завершилася. Діру в захисті залатали, вкрадені з рахунків гроші повернули. Ті, хто списання не помітив, так нічого і не помітять. Для тих, хто помітив і почав скандалити, тепер озвучують офіційне формулювання про технічні проблеми на обладнанні і помилковому підключенні підписки. Версія, звичайно, забавна: в програмному забезпеченні відбувся певний збій, який підключив абонентам сервіс UMS, відправив SMS-повідомлення або ввів номер на сайті, отримав SMS c кодом, ввів його і оформив передплату. Боронь нас Боже від таких «збоїв», це вже називається «повстання машин».
Що це було?
Всіх подробиць ми не дізнаємося, а в Мегафоні не розкажуть. Читав про дуже схожі випадки на початку березня, теж підписка і теж з підключенням сервісу UMS. Правда, потерпілий писав про SMS +, але міг помилитися або не розчув. Для підключення SMS + потрібно підбирати пароль на вході в Сервіс-Гід, а це справа невдячна. І, головне, абсолютно непотрібне при наявності «доброзичливою» UMS.
Судячи з скриншоту деталізації, процес крадіжки повністю автоматизований, програмісти потрудилися на славу. Зверніть увагу на час: якщо вірити цифрам, підписка була зареєстрована через дві секунди після отримання SMS-повідомлення з кодом. Підняти очі, прочитати і ввести чотири цифри вручну за дві секунди навряд чи здійснимо фізично. Майже напевно перебір блоків номерів на вході в портал UMS теж добре автоматизований, за можливий дохід 20 руб. / Добу ніхто не буде сидіти над цим вручну.
Судячи з інтервалу часу між успішним підбором пароля і підключенням підписки (в різних прикладах від півтора до п'яти годин), «захід» проводять в два етапи: спершу заготовлюється порція успішно підібраних пар телефон / пароль, потім ці пари обробляються підписками. Потім весь процес повторюється для наступного блоку.
Можу припустити, що фінансовий потенціал цієї схеми оцінили давно, софт замовили / написали і друзі-контентщіков крадуть на «лівих» підписках вже не один тиждень. Зараз чи то жадібність заграла, то програма потрапила в руки нерозумного людини. Який, захотівши занадто багато грошей «тут і зараз», необачно запустив механізм відстеження фрода. Скромніше треба бути, скромніше.
Страшно собі уявити, скільки цікавих історій пройшло через операторські відділи по боротьбі з фродом. І скільки історій поки не пройшло і, можливо, ніколи не пройде. Чи повернуть (або не повернуть) списане просимо і забудуть. Все-таки треба вирішувати питання в принципі, а не займатися латанням дір в захисті і розробкою куцих «Заборон контенту». Відключити б всім доступ до будь-якого платного контенту і підключати тільки за письмовою заявою. Ех, мрії ...
Висновки для нас
Те, що нам з вами слід винести для себе з цієї історії.
Хоч і є приказка про снаряди, які двічі в один і той же місце не потрапляють, я б про всяк випадок перевірив в Сервіс-Гіді підключення послуги UMS. Раптом колись підключали «для спробувати», а відключати не стали або забули?
Якщо послуга не підключена, то при першому успішному вході на портал UMS спрацьовує її автоматичне підключення, в Сервіс-Гіді з'являється запис «Змінено склад послуг» із зазначенням дати і точного часу.
Одночасно на телефон приходить SMS-повідомлення з попередженням про успішне вході на портал UMS з використанням даних користувача (номер телефону і пароль). Для нас це важливий «дзвіночок», після якого можна встигнути відключити послугу і / або змінити пароль. Наступні відвідування порталу відбуваються непомітно для користувача. По крайней мере, у мене ніяких SMS-попереджень не було, перевіряв.
Чи не лінуватися використовувати пароль максимальної довжини і категорично відмовитися від традиційних комбінацій виду 12345, дати народження і т. П.
Звертати увагу на «загадкові» SMS-повідомлення і не поспішати їх стирати з пам'яті телефону, може стати в нагоді для відновлення картини події.
Обговорення на форумі >>>
Посилання по темі
Сергій Потресов ( [email protected] ) 
Twitter
Опубліковано - 08 квітень 2013 р
Поділитися:
Ми в соціальних мережах:
Є, що додати ?! Пишіть ... [email protected]
Що це було?Раптом колись підключали «для спробувати», а відключати не стали або забули?