Desde hai moito tempo, as historias sobre subscricións móbiles de pago en dispositivos IoT circulan como bromas non divertidas.
Todo o mundo entende que estas subscricións non se poden facer sen as accións dos operadores móbiles.
Pero os operadores de telefonía móbil afirman teimudamente que estes subscritores son idiotas:
Durante moitos anos nunca peguei esta infección e mesmo pensei que a xente conta con isto polo seu analfabetismo informático. Pero estaba equivocado...
Recentemente, despois de compartir Internet desde Megafon, sentei e traballei tranquilamente no ordenador ata que se produciu unha redirección ao facer clic na seguinte ligazón de Google.
e abriuseme esta fiestra
Por suposto que me superou o interese profesional.
Inmediatamente decateime de que iso era! O mesmo sobre o que escriben tantas veces e agora tentarán estafarme por cartos.
Texto pequeno da fiestra grisO sitio presenta materiais nas seguintes categorías: chistes de audio, vídeos, imaxes, música, parabéns, artigos útiles, receitas, consellos, interpretación de apelidos, citas e aforismos, previsión do tempo.
Pero non di nada sobre as subscricións de pago...
Como teño 0 rublos na miña conta neste teléfono e non teño ningún "créditos de confianza", fixen clic no botón "Continuar".
Houbo unha redirección a outra páxina. O deseño é moi semellante ao primeiro
Unha persoa común non prestará atención a isto e pensará que o contido segue sendo o mesmo.
Pero o texto gris, apenas visible, é completamente diferente:
Ao facer clic no botón "Continuar", confirmas o teu acordo coa conexión á subscrición vsewap.ru e as Condicións de subscrición. Custo da subscrición 35.0 rublos. IVE incluído durante 1 día. O pago realízase desde a conta principal. O servizo é ofrecido por Content Provider LLC Informpartner.
Continúo co experimento e fago clic en "Continuar". E chega un SMS...
Subscrición completada! Por suposto, apagueino inmediatamente.
Como a maioría da xente pensa nestes casos, é probable que teña un virus no meu ordenador e me redirixiu ao sitio web do provedor de contido.
Pero neste caso, é Megafon o que fai a redirección usando a mesma tecnoloxía que o redirixirá en caso de que existan restricións en Internet ou use wap-click. Por desgraza, non podo dicir con máis precisión.
Os usuarios corporativos tamén atopan estes redireccionamentos:
Estou buscando un lugar onde medran as "pernas":
Comprobo quen é o propietario do dominio, o sitio no que me quere estafar:
Que inesperado! O dominio pertence a Megafon!
E é unha coincidencia que a IP do servidor web tamén pertence a Megafon
nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226
inetnum: 31.173.32.0 - 31.173.39.255
netname: MF-MOSCOW-BBA-POOL-31-173-32
descr: Moscow Branch of OJSC MegaFon
role: Moscow Branch of PJSC <b>MegaFon Internet Center</b>
Pódese supoñer que un dos clientes de Megafon está implicado nunha fraude e simplemente está a configurar un operador honesto.
Verificamos un sitio web que che permite xestionar as subscricións de todos os provedores de contido coñecidos por Megafon
Tamén pertence ao megáfono whois moy-m-portal.ru
% Ao enviar unha consulta ao Servizo Whois de RIPN
% aceptas cumprir os seguintes termos de uso:
%
%
dominio: MOY-M-PORTAL.RU
nserver: ns1.misp.ru.
nserver: ns2.misp.ru.
estado: REGISTRADO, DELEGADO, VERIFICADO
org: Rama Noroeste de PJSC "MegaFon"
rexistrador: RU-CENTER-RU
contacto-administrador:
created: 2016-04-07T15:00:38Z
paid-till: 2020-04-07T15:00:38Z
Data libre: 2020-05-08
Fonte: TCI
Última actualización o 2019-04-18T11:31:32ZE tamén está situado na mesma IP que o sitio de estafa. nslookup moy-m-portal.ru
Nome: moy-m-portal.ru
Enderezo: 31.173.34.227
Nome: moy-m-portal.ru
Enderezo: 31.173.34.226
Supoñamos que o operador usa un equilibrador de clases Citrix Netscaler, que, por exemplo, substitúe o ID do subscritor para identificalo.
Vexamos que outros dominios se detectaron nestes enderezos:
E só hai 19!arusav.ru
dmvasor.ru
mfprovas.ru
moy-m-portal.ru
mvpvas.ru
podpiskimf.ru
ppmprop.ru
pravvopros.ru
promfvas.ru
propodpiski.ru
propodpiskimf.ru
proves.ru
ropovasru.ru
savorpm.ru
truvpro.ru
vasmfpro.ru
vasmpro.ru
vaspromf.ru
vasprovp.ru
Algo é demasiado líquido para equipos caros...
A maioría rexistrada en marzo de 2019 ("creado: 2019-03-20")
Cando accedes a algún deles, Google Chrome informa de que se pode roubar o teu diñeiro:
É dicir, todos os dominios pertencentes a Megafon vense en fraudulento accións con subscricións de pago!
E lembramos ben que segundo a lei rusa (
Decidín mirar os sitios aos que se subscribe Megafon (da lista publicada aquí:
Sitios que me chamaron a atenciónzvoook.com
Creation Date: 2019-02-18T07:32:00Z
Nome do Rexistro: Protección de Persoas Privadas
Rexistrador: rexistrador de nomes de dominio REG.RU LLC
yottupe.com
Creation Date: 2019-04-08T17:47:46Z
Nome do Rexistro: Protección de Persoas Privadas
rexistrador: REGRU-RU
futod.espazo
Creation Date: 2019-03-26T23:01:18.0Z
Organización rexistradora: Protección da privacidade
rexistrador: REGRU-RU
vkusnopoedim.com
Creation Date: 2019-03-21T11:52:58Z
Rexistrador: rexistrador de nomes de dominio REG.RU LLC
Nome do Rexistro: Protección de Persoas Privadas
zavcev.com
Creation Date: 2019-02-18T10:33:48Z
Rexistrador: rexistrador de nomes de dominio REG.RU LLC
Nome do Rexistro: Protección de Persoas Privadas
MUSICA-YONTUBE.COM
Creation Date: 2019-03-11T12:41:40Z
Rexistrador: REGISTRADOR DE NOMES DE DOMINIO REG.RU LLC
ficheiros-zilla.com
Creation Date: 2019-02-18T10:33:14Z
Rexistrador: rexistrador de nomes de dominio REG.RU LLC
Nome do Rexistro: Protección de Persoas Privadas
Total:
- Todos eles están rexistrados no rexistro REG.RU
- A organización do propietario está oculta para todos
- Están todos frescos. Máis precisamente, aparecen outras novas cunha regularidade envexable. (mesmo podes seguir a cronoloxía).
En todos os sitios, o pé de páxina ten o mesmo texto que un modelo
O custo de acceso por subscrición é de 35 rublos, incluído o IVE por día para os subscritores de MegaFon PJSC; para un pago único - 150 rublos (incluído o IVE) durante 30 días para os subscritores de MegaFon PJSC; O acceso á subscrición renóvase automaticamente. Para rexeitar a subscrición ao servizo, envía unha mensaxe SMS coa palabra STOP<space>113 ao número 5151 para os subscritores de MegaFon PJSC. A mensaxe é gratuíta na túa rexión de orixe. Servizo de soporte técnico de Informpartner LLC: 8 800 500-25-43 (chamada gratuíta), correo electrónico: [protexido por correo electrónico]
E a oferta é a mesma en todas partes
Ben, non pode ser que centos de sitios fosen creados só polo ben dos subscritores de Megafon. E se un cliente de Beeline quere recibir este contido?...
Demasiadas coincidencias...
Ultimamente se
Entón, se o diñeiro fose transferido a provedores de contido de esquerdas, entón o operador móbil non daría diñeiro ao subscritor do seu propio peto. Megafon teme que se comezan as queixas masivas ás axencias de aplicación da lei, tarde ou cedo, tales accións serán clasificadas no 159 do Código Penal da Federación Rusa. E non haberá Infopartner LLC nesta cadea! É máis barato calar aos indignados ao principio.
Instalar todo tipo de protección contra subscricións en Megafon non axuda
В
В
Así, Megafon nin sequera intenta ocultar o feito de que están a enganar aos subscritores para que se inscriban en contidos de merda caros...
200 persoas subscribiranse ao boletín por 000 rublos. 35 indignaranse e devolverán o diñeiro á súa conta. Desde os 100 lyamas restantes por día ata o orzamento da empresa...
Neste caso, estudei o comportamento dun operador de telecomunicacións:
Ao ir a un sitio de hospedaxe especializado para tales sitios, veremos como socios aos que coñecemos e "queremos"
nslookup zvoook.comNome: zvoook.com
Enderezo: 78.140.175.32
Nome: zvoook.com
Enderezo: 78.140.175.19
nslookup 78.140.175.19
19.175.140.78.in-addr.arpa nome = webwap.org.
Acontece que esta é unha comunidade criminal organizada implicada en fraudes a gran escala?
PD: Este artigo está agregado dos meus dous en Pikabu:
Fonte: www.habr.com