Вже давно як не смішні анекдоти ходять історії про платні мобільні підписки на IoT пристроях.
Всім зрозуміло, що без дій стільникових операторів ці підписки не обходяться.
Але оператори стільникового зв'язку наполегливо стверджують, що це абоненти лохи:
За багато років я жодного разу не підхоплював цю заразу і навіть думав, що люди так потрапляють через свою комп'ютерну безграмотність. Але я помилявся.
Нещодавно, розшарувавши інтернет з Мегафона, я сидів і тихо працював за компом до тих пір, поки при переході по черговому засланню в гугле не відбувся редирект
і мені відкрилося ось таке вікно
Зрозуміло, мене здолав професійний інтерес.
Я одразу зрозумів, що це воно! Те саме, про що так часто пишуть, і мене зараз спробують розвести на гроші.
Дрібний сірий текст вікноНа сайті представлені матеріали в наступних рубриках: аудіо-приколи, відео, картинки, музика, привітання, корисні статті, рецепти, поради, тлумачення прізвищ, цитати та афоризми, прогноз погоди.
Але в ньому нічого не сказано про платні передплати.
Так як у мене на рахунку цього телефону 0 рублів і немає всяких "Кредитів довіри", то я натиснув кнопку "Продовжити".
Відбувся редирект на іншу сторінку. Оформлення дуже схоже на першу
Звичайна людина не загострить на цьому увагу і подумає, що вміст залишився таким самим.
Але сірий, ледь помітний текст зовсім інший:
Натисканням кнопки «Продовжити» Ви підтверджуєте свою згоду з підключенням підписки vsewap.ru та Умовами надання підписки. Вартість передплати 35.0 руб. з врахуванням ПДВ за 1 день. Оплата провадиться з основного рахунку. Послуга надається Контент-провайдером ТОВ "Інформпартнер".
Продовжую експеримент і тисну "Продовжити". І прилітає SMS.
підписка оформлена! Зрозуміло, що я одразу її відключив.
Як більшість думає в таких випадках, що у мене, напевно, вірус на комп'ютері і він мене редиректнув на сайт контент-провайдера.
Але в даному випадку робить редирект саме Мегафон за тією ж технологією, яка Вас редиректит у разі будь-яких обмежень інтернету або застосовується wap-click. На жаль точніше сказати не можу.
З такими редиректами стикаються і корпоративні користувачі:
Шукаю місце, звідки ростуть «ноги»:
Перевіряю, кому належить домен, сайт на якому мене хоче «розвести»:
Як несподівано! Домен належить Мегафон!
І такий збіг, що ip веб-сервера теж належить Мегафону
nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226
inetnum: 31.173.32.0 - 31.173.39.255
netname: MF-MOSCOW-BBA-POOL-31-173-32
descr: Moscow Branch of OJSC MegaFon
role: Moscow Branch of PJSC <b>MegaFon Internet Center</b>Можна припустити, що хтось із клієнтів Мегафона займається шахрайством та просто підставляє чесного оператора.
Повіряємо сайт, який дозволяє керувати підписками всіх відомих Мегафону контент-провайдерів
Він також належить мегафону whois moy-m-portal.ru
% By submitting a query to RIPN's Whois Service
% you agree to abide до наступного терміну використання:
% (російською)
% (англійською).
domain: MOY-M-PORTAL.RU
nserver: ns1.misp.ru.
nserver: ns2.misp.ru.
state: REGISTERED, DELEGATED, VERIFIED
org: North-West Branch of PJSC "MegaFon"
registrar: RU-CENTER-RU
admin-contact:
created: 2016-04-07T15:00:38Z
paid-till: 2020-04-07T15:00:38Z
free-date: 2020-05-08
source: TCI
Last updated on 2019-04-18T11:31:32ZІ він так само розташований на тих же IP, що і сайт шахраїв! nslookup moy-m-portal.ru
Name: moy-m-portal.ru
Адреса: 31.173.34.227
Name: moy-m-portal.ru
Адреса: 31.173.34.226
Припустимо, оператор використовує балансувальник класу Citrix Netscaler, який, наприклад, підставляє ID абонента для його ідентифікації.
Дивимося, які ще домени були помічені на цих адресах:
А їх лише 19!arusav.ru
dmvasor.ru
mfprovas.ru
moy-m-portal.ru
mvpvas.ru
podpiskimf.ru
ppmprop.ru
pravvopros.ru
promfvas.ru
propodpiski.ru
propodpiskimf.ru
proprovas.ru
ropovasru.ru
savorpm.ru
truvpro.ru
vasmfpro.ru
vasmpro.ru
vaspromf.ru
vasprovp.ru
Щось занадто рідке для дорогого обладнання.
Більшість зареєстровано у березні 2019 («created: 2019-03-20»)
Заходячи на будь-який з них, Google Chrome повідомляє, що у Вас можуть вкрасти гроші:
Тобто всі домени, що належать Мегафону, помічені в шахрайських діях із платними підписками!
А ми добре пам'ятаємо, що за Російським правом () відповідальність за дії, зроблені з конкретного IP несе власник IP. А тут ще збігається і власник домену.
Я вирішив подивитися на сайти, на які підписує Мегафон (зі списку, розміщеного тут: ). Звичайно, не всі, а з благословення великого Рандома.
Сайти, за які зачепилося окоzvoook.com
Creation Date: 2019-02-18T07:32:00Z
Registrant Name: Protection of Private Person
Registrar: Registrar of domain names REG.RU LLC
yottupe.com
Creation Date: 2019-04-08T17:47:46Z
Registrant Name: Protection of Private Person
registrar: REGRU-RU
futod.space
Creation Date: 2019-03-26T23:01:18.0Z
Registrant Organization: Privacy Protection
registrar: REGRU-RU
vkusnopoedim.com
Creation Date: 2019-03-21T11:52:58Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
zavcev.com
Creation Date: 2019-02-18T10:33:48Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
MUSICA-YONTUBE.COM
Creation Date: 2019-03-11T12:41:40Z
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
files-zilla.com
Creation Date: 2019-02-18T10:33:14Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
Разом:
- Усі вони зареєстровані у реєстратора REG.RU
- У всіх прихована організація-власник
- Усі вони свіжі. Точніше нові з'являються із завидною регулярністю. (Можна відстежити навіть хронологію).
На всіх сайтах у футері як за шаблоном той самий текст
Вартість доступу за передплатою становить 35 рублів з ПДВ на добу для абонентів ПАТ Мегафон; з разової оплати — 150 рублів (включно з ПДВ) за 30 днів для абонентів ПАТ «Мегафон»; Продовження доступу до передплати відбувається автоматично. Для відмови від надання Передплати на послугу надішліть SMS-повідомлення зі словом СТОП<пробіл>113 на номер 5151 для абонентів ПАТ «Мегафон». Повідомлення безкоштовне в домашньому регіоні. Служба технічної підтримки ТОВ «Інформпартнер»: 8-800-500 (дзвінок безкоштовний), e-mail: [захищено електронною поштою]
І офер скрізь однаковий
Ну не може бути, що сотні сайтів створено лише заради абонентів Мегафону! А якщо клієнт Білайна захоче отримати цей контент?
Занадто багато збігів.
Останнім часом якщо через те, що у нього списали гроші за ліву передплату, то йому ці гроші повертають.
Отож якби гроші перераховувалися лівим контент-провайдерам, то стільниковий оператор не став би зі своєї кишені віддавати абоненту гроші! Мегафон боїться, що якщо розпочнуться масові скарги до правоохоронних органів, то рано чи пізно такі дії кваліфікують за 159 КК РФ. І жодного ТОВ «Інфопартнера» у цьому ланцюжку не буде! Дешевше заткнути обурених на самому початку.
Встановлення будь-яких захистів від передплат на Мегафоні – не допомагає
В
В також підтвердили, що Мегафон кладе болт на заборони.
Таким чином Мегафон навіть не намагається приховати, що вони обманом підписують абонентів на дорогий гівно-контент.
Підпишуть 200 000 чоловік на розсилку 35 рублів. 100 000 обуряться і вони їм повернуть гроші на рахунок. З решти 3,5 ляма на добу до бюджету компанії.
У цьому випадку я вивчив поведінку одного оператора зв'язку. . Але, судячи з відгуків, таким промишляють усі оператори РФ (окрім ).
Зайшовши на сайт спеціалізованого хостингу для таких сайтів ми побачимо у партнерах тих, кого ми знаємо та «любимо»
nslookup zvoook.comName: zvoook.com
Адреса: 78.140.175.32
Name: zvoook.com
Адреса: 78.140.175.19
nslookup 78.140.175.19
19.175.140.78.in-addr.arpa name=webwap.org.
Виходить, що це організована злочинна спільнота, яка займається шахрайством у особливо великих масштабах?
PS: Ця стаття є агрегованою з моїх двох на Пікабу: и .
Джерело: habr.com