Des de fa molt de temps, les històries sobre subscripcions mòbils de pagament en dispositius IoT circulen com a bromes no divertides.
Tothom entén que aquestes subscripcions no es poden fer sense les accions dels operadors mòbils.
Però els operadors de telefonia mòbil afirmen obstinadament que aquests subscriptors són uns ximples:
Durant molts anys no he agafat mai aquesta infecció i fins i tot pensava que la gent ho passava a causa del seu analfabetisme informàtic. Però m'he equivocat...
Recentment, després d'haver compartit Internet des de Megafon, em vaig asseure i vaig treballar tranquil·lament a l'ordinador fins que es va produir una redirecció quan vaig fer clic al següent enllaç de Google.
i aquesta finestra se'm va obrir
Per descomptat, em va superar l'interès professional.
De seguida em vaig adonar que això era tot! El mateix que escriuen tan sovint i ara intentaran estafar-me per diners.
Petit text de la finestra grisEl lloc presenta materials en les següents categories: acudits d'àudio, vídeos, imatges, música, felicitacions, articles útils, receptes, consells, interpretació de cognoms, cites i aforismes, previsió meteorològica.
Però no diu res sobre les subscripcions de pagament...
Com que tinc 0 rubles al meu compte en aquest telèfon i no tinc cap "crèdits de confiança", he fet clic al botó "Continua".
Hi ha hagut una redirecció a una altra pàgina. El disseny és molt semblant al primer
Una persona normal no li prestarà atenció i pensarà que el contingut segueix sent el mateix.
Però el text gris, amb prou feines visible, és completament diferent:
En fer clic al botó "Continua", confirmeu el vostre acord amb la connexió a la subscripció a vsewap.ru i les Condicions de subscripció. El cost de la subscripció és de 35.0 rub. IVA inclòs durant 1 dia. El pagament es realitza des del compte principal. El servei el proporciona Content Provider Informpartner LLC.
Continuo l'experiment i faig clic a "Continua". I arriba un SMS...
Subscripció completada! Per descomptat, el vaig apagar immediatament.
Com la majoria de la gent pensa en aquests casos, probablement tinc un virus al meu ordinador i m'ha redirigit al lloc web del proveïdor de contingut.
Però en aquest cas, és Megafon qui fa la redirecció utilitzant la mateixa tecnologia que et redirigirà en cas de restriccions a Internet o utilitza wap-click. Malauradament, no puc dir-ho amb més precisió.
Els usuaris corporatius també es troben amb aquestes redireccions:
Estic buscant un lloc on creixin les "cames":
Comproveu qui és el propietari del domini, el lloc on em vol estafar:
Què inesperat! El domini pertany a Megafon!
I és una casualitat que la IP del servidor web també pertany a Megafon
nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226
inetnum: 31.173.32.0 - 31.173.39.255
netname: MF-MOSCOW-BBA-POOL-31-173-32
descr: Moscow Branch of OJSC MegaFon
role: Moscow Branch of PJSC <b>MegaFon Internet Center</b>Es pot suposar que un dels clients de Megafon està involucrat en un frau i simplement està configurant un operador honest.
Verifiquem un lloc web que us permet gestionar les subscripcions de tots els proveïdors de contingut coneguts per Megafon
També pertany al megàfon whois moy-m-portal.ru
% Enviant una consulta al Servei Whois de RIPN
% accepteu complir les condicions d'ús següents:
% (en rus)
% (en anglès).
domini: MOY-M-PORTAL.RU
nserver: ns1.misp.ru.
nserver: ns2.misp.ru.
estat: REGISTRAT, DELEGAT, VERIFICAT
org: Branca nord-oest de PJSC "MegaFon"
registrador: RU-CENTER-RU
contacte de l'administrador:
created: 2016-04-07T15:00:38Z
paid-till: 2020-04-07T15:00:38Z
data lliure: 2020-05-08
font: TCI
Última actualització el 2019-04-18T11:31:32ZI també es troba a la mateixa IP que el lloc de l'estafa! nslookup moy-m-portal.ru
Nom: moy-m-portal.ru
Adreça: 31.173.34.227
Nom: moy-m-portal.ru
Adreça: 31.173.34.226
Suposem que l'operador utilitza un equilibrador de classes Citrix Netscaler, que, per exemple, substitueix l'identificador de subscriptor per identificar-lo.
Vegem quins altres dominis s'han detectat a aquestes adreces:
I només n'hi ha 19!arusav.ru
dmvasor.ru
mfprovas.ru
moy-m-portal.ru
mvpvas.ru
podpiskimf.ru
ppmprop.ru
pravvopros.ru
promfvas.ru
propodpiski.ru
propodpiskimf.ru
proves.ru
ropvasru.ru
savorpm.ru
truvpro.ru
vasmfpro.ru
vasmpro.ru
vaspromf.ru
vasprovp.ru
Alguna cosa és massa líquida per a equips cars...
La majoria s'han registrat al març de 2019 ("creat: 2019-03-20")
Quan accediu a qualsevol d'ells, Google Chrome informa que us poden robar els diners:
És a dir, es veuen tots els dominis pertanyents a Megafon fraudulent accions amb subscripcions de pagament!
I recordem bé que segons la llei russa () El propietari de la IP és responsable de les accions realitzades des d'una IP específica. I llavors el propietari del domini també coincideix...
Vaig decidir mirar els llocs als quals Megafon està subscrit (de la llista publicada aquí: ). Per descomptat, no tots, però amb la benedicció del gran Random.
Llocs que em van cridar l'atenciózvoook.com
Creation Date: 2019-02-18T07:32:00Z
Nom del Registrant: Protecció de Persona Privada
Registrador: Registrador de noms de domini REG.RU LLC
yottupe.com
Creation Date: 2019-04-08T17:47:46Z
Nom del Registrant: Protecció de Persona Privada
registrador: REGRU-RU
futod.space
Creation Date: 2019-03-26T23:01:18.0Z
Organització registrant: Protecció de privadesa
registrador: REGRU-RU
vkusnopoedim.com
Creation Date: 2019-03-21T11:52:58Z
Registrador: Registrador de noms de domini REG.RU LLC
Nom del Registrant: Protecció de Persona Privada
zavcev.com
Creation Date: 2019-02-18T10:33:48Z
Registrador: Registrador de noms de domini REG.RU LLC
Nom del Registrant: Protecció de Persona Privada
MUSICA-YONTUBE.COM
Creation Date: 2019-03-11T12:41:40Z
Registre: REGISTRADOR DE NOMS DE DOMINIS REG.RU LLC
files-zilla.com
Creation Date: 2019-02-18T10:33:14Z
Registrador: Registrador de noms de domini REG.RU LLC
Nom del Registrant: Protecció de Persona Privada
Total:
- Tots ells estan registrats al registre REG.RU
- L'organització del propietari està oculta per a tothom
- Són tots frescos. Més precisament, n'apareixen de nous amb una regularitat envejable. (fins i tot podeu fer un seguiment de la cronologia).
A tots els llocs, el peu de pàgina té el mateix text que una plantilla
El cost de l'accés per subscripció és de 35 rubles, inclòs l'IVA al dia per als subscriptors de MegaFon PJSC; per un pagament únic: 150 rubles (inclòs l'IVA) durant 30 dies per als subscriptors de MegaFon PJSC; L'accés a la subscripció es renova automàticament. Per negar-se a proporcionar una subscripció al servei, envieu un missatge SMS amb la paraula STOP<space>113 al número 5151 per als subscriptors de MegaFon PJSC. El missatge és gratuït a la vostra regió d'origen. Servei d'assistència tècnica d'Informpartner LLC: 8 800 500-25-43 (trucada gratuïta), correu electrònic: [protegit per correu electrònic]
I l'oferta és la mateixa a tot arreu
Bé, no pot ser que s'hagin creat centenars de llocs només pel bé dels subscriptors de Megafon! Què passa si un client de Beeline vol rebre aquest contingut?...
Massa coincidències...
Últimament si a causa del fet que se li van deduir diners per la subscripció incorrecta, llavors aquests diners se li retornen.
Per tant, si els diners es transfereixen a proveïdors de contingut d'esquerra, l'operador mòbil no donaria diners al subscriptor de la seva butxaca! Megafon té por que si comencen les queixes massives a les agències d'aplicació de la llei, tard o d'hora, aquestes accions es classifiquen a l'article 159 del Codi Penal de la Federació Russa. I no hi haurà Infopartner LLC en aquesta cadena! És més barat callar els indignats al principi.
Instal·lar tot tipus de protecció contra subscripcions a Megafon no ajuda
В
В També van confirmar que Megafon està posant el fre a les prohibicions.
Per tant, Megafon ni tan sols intenta amagar el fet que estan enganyant els subscriptors perquè es registrin per a continguts de merda cars...
200 persones es subscriuran al butlletí per 000 rubles. 35 s'indignaran i tornaran els diners al seu compte. Des dels 100 lyama restants al dia fins al pressupost de l'empresa...
En aquest cas, vaig estudiar el comportament d'un operador de telecomunicacions: . Però, a jutjar per les revisions, tots els operadors de la Federació Russa ho fan (excepte ).
En anar a un lloc d'allotjament especialitzat per a aquests llocs, veurem com a socis aquells que coneixem i "estimem"
nslookup zvoook.comNom: zvoook.com
Adreça: 78.140.175.32
Nom: zvoook.com
Adreça: 78.140.175.19
nslookup 78.140.175.19
19.175.140.78.in-addr.arpa nom = webwap.org.
Resulta que es tracta d'una comunitat criminal organitzada dedicada al frau a una escala especialment gran?
PD: Aquest article s'agrega dels meus dos a Pikabu: и .
Font: www.habr.com