"И самое главное..."

Более того, точно так же можно управлять счетами на всех мобильных банках, которые требуют СМС. Я вот все жду когда мошенники поднимут свой технический уровень и займутся этим вплотную, вангую кучу тем о том как банки воруют деньги со счетов (впрочем, эти темы уже есть, и точно так же никто из плачущихся не делал детализацию в офисе банка).
А сделать это не сложно, вообще. Такой шпион делается аналогично виджетам запроса баланса у оператора или мониторинга оплаты с кредиток с уведомлением по СМС.

Но я посмел в теме безудержного обсирания усомниться в непогрешимости действий абонента и отсутствии разбора полетов - сразу в минуc. Необразованная эмоциональная толпа...

Как говорили выше, необходимо подключить "Контентный счет". Для этого требуется написать заявление в офисе. Средства, списанные по подпискам можно попробовать вернуть через написание претензии. У меня был прецедент, вернули. Мегафон.

Это сообщение отредактировал dalexx - 28.11.2016 - 12:37

В данном случае, видимо, имел место варезный софт, но, в принципе, куда-то кликать для оформления подписки не требуется. По крайней мере, у Мегафона, фактом принятия оферты на подписку является переход на определенный сайт (не буду говорить какой). Причем, при выходе в инет через симку мобильного оператора, сайту доступен Ваш мобильный номер. Больше ничего не требуется. Т.е., понимаете масштаб проблемы? У любого сайта есть Ваш номер при входе на него с мобильного устройства. Чтобы Вас подписать на любую подписку, требуется только переход на определенный сайт оператора с указанием кода подписки и Вашего мобильного номера, что с успехом делает, при желании, скрипт на сайте (без вашего ведома). Когда от мобильных операторов потребовали исправления данной ситуации, они сделали ход конем - добавили возможность создания "Контентного счета", с которого будут списываться деньги на подписки/доп.платные услуги. Соответственно, если на этом счете "0", платные услуги не смогут быть подключены/деньги не спишутся с основного баланса. А теперь: кто-нибудь видел рекламу данной услуги? Даже на сайтах операторов информации нет от слова "совсем". Подключить "Контентный счет" можно, как правило, только в офисе по личному заявлению, занимает это минут 20. И то, этот счет обезопасит только на 99%, так как с него будут списания только сторонних юрлиц, сам же оператор при оформлении своей платной услуги, при остутствии денег на контентном счете, все равно спишет их с основного.
Проблему платных подписок решило бы обязательное подтверждение по СМС, но, лоббистские силы операторов не дадут принять такую поправку.

Это сообщение отредактировал dalexx - 28.11.2016 - 13:10

мне мегафон подключил на днях услугу гудок на симке ... которая стоит в роутере ))) как бы знают, что не замечу и подключают постоянно

поддерживаю! раньше еще хоть как то можно было "дружить" с билайном, но последние пол года и связь хреновая, а уж интернет просто бесит...
ушел с сохранением номера на другого оператора из тройки. не скажу что все супер. но повеселей стало...
провозился с переоформлением правда, но оно того стоило...

Камрад, ты не прав. Далеко не всегда всякие варезники являются причиной списания. Хотя большая тройка вынуждена соблюдать хотя бы видимость законности, но ты же понимаешь, что бабке предупреждение о том, что ей подключен гудок, от которого она может отписаться - это примерно как марсианские сигналы из космоса.

И из личного совсем недавно про МТС. Искал в интернете какую-то фигню, уже и не помню, какую именно. Тыкнул в поисковый ответ яндекса, а оно хуяк - автоматически меня подписало на какую-то рассылку со снятием 20р. И как бы формально я сам виноват, но как я мог заранее догадаться, что это вирусная ссылка? Никаких подтверждений и согласий не спрашивалось. А ссылочка в яндексе имела очень любопытный вид

аdvjoks.ru/mts_redirect.php?redirec..moipodpiski.ssl.mts.ru%252%2.. (там дальше многа букв).

Если попытаться зайти на сайт advjoks.ru с компа - там пусто, прост ничего нет, даже стартовой страницы. И, разумеется, когда я ввел на компе тот же самый поисковый запрос, что вводил на телефоне, яндекс мне этот сайт не выдал, т.е. очевидно, что эту липу мне сам опсос и подкинул.

Такое вот элегантное решение и хуй что кому докажешь.

Это сообщение отредактировал ХулиПедрович - 28.11.2016 - 13:16

dalexx

Это было сделано специально для ленивых абонентов, которые не собираются ездить в ближайший офис для таких вещей.

Я разработчик ПО, в том числе и WEB, и вы только что сказали полную ерунду. Уверяю, ни у одного сайта нет номера вашего телефона, потому что протокол HTTP в принципе это не поддерживает, ни в каком виде. Более того, в этом протоколе нет механизмов однозначной вашей идентификации кроме костыльных кук (которые вы можете менять как угодно и доверия к ним нет), т.е. сайт даже на 100% не может определить что это вы еще раз посетили страницу, а не Пупкин из соседней деревни, не то чтобы получить ваш номер. Узнать лично вас может только точка входа в инет - провайдер, регистрируя вас в сети по IMEI и сниферя трафик (например показывая страницу входа, как в метро или макдаке), все сайты после точки входа такой информации не имеют, никогда.

Рассказываю как работает механизм подписки на услугу, как это действительно реализовано. Владелец сайта заключает договор с опсосом на предоставление платных услуг, владельцу выделяется короткий номер. Дальше, на своей страничке владелец указывает поле для ввода номера мобильного телефона (так как узнать он его не может, если только в браузере не стоит стороннее расширение услужливо сливающее ему ваш номер). Вы вводите номер телефона, отправляете на сайт. С сайта владелец отправляет номер телефона и номер услуги опсосу. Теперь, чтобы эта услуга была активирована нужен код подтверждения, который отправляется клиенту самим оператором, на его указанный номер. Сайт просит клиента ввести код подтверждения, и после получения его отправляет опсосу, тот подписывает услугу.
Теперь вся мошенническая схема сводится к тому, чтобы заполучить этот код. Обманом (бабушек уговорами наепывают "только в путь"), вредоносным кодом на стороне абонента (который перехватит код и отправит сайту).

Вот я прямо чуть выше написал. Меня подписали на подписку безо всякого кода. Причем, на сайте, который в поисковике находился только с телефона, а в компе его не было. Подозреваю, что в том длиннющем адресе редиректа как раз и мой телефон был и код, и все остальное, что надо было для подписки.

Это сообщение отредактировал ХулиПедрович - 28.11.2016 - 13:19

У сайта есть только userAgent - это строка идентифицирующая браузер (может быть подделана как угодно), по нему они пытаются определить мобильный девайс. Если определен как ПК - контент не отдается, все банально.
Надо смотреть что была за ссылка, возможно там XSS, которая яваскриптом (тем самым кодом) и сделала все за вас на странице.

Это так же может быть эксплуатацией уязвимости браузера или программы обрабатывающей данные пришедшие в браузер (тот же pdf). Оператор тут не причем, в данном случае мошенник воспользовался дырами в абонентском оборудовании/софте. Потому что для оператора это самая обычная операция подключения услуги, он же не телепат.

Это сообщение отредактировал 28e - 28.11.2016 - 13:26

Я выше про это писал. Для автоматической подписки требуется только переход на определенный сайт мегафона. Кстати, зараженный сайт может быть не обязательно "левым". Бывают зараженные рекламные баннеры на вполне себе нормальных сайтах с большой посещаемостью.

Интересно узнать мнение разбирающегося человека. Вот полная ссылка, при тычке в которую меня автоматом подключили к рассылке. Можете хотя бы сказать, я самдурак, или все-таки нет? Ссылка была в яндексе среди прочих ответов на вполне себе невинный поисковый запрос. Этот же запрос на стационарном компе ничего подобного не выдал.

advjoks.ru/mts_redirect.php?redirect=http%3A%2F%2Fmoipodpiski.ssl.mts.ru%2Flp%2F%3FSID%(тут набор из примерно двух десятков цифр и букв через дефисы)%26tmpl%3Dmts_novostitotal.ru-2

Это сообщение отредактировал ХулиПедрович - 28.11.2016 - 13:36

Да ну нахуй?
Вчера ходи в МТС разбираться, дочке подключили кучу услуг.
Сказали, это она сама подключала, на своем смартфоне, через интернет
У нее простейшая нокиа. Сообщил, что напишу в прокуратуру, подозрение на мошенничество, сразу засуетились. Деньги в итоге вернули и сообщили, что больше ничего не подключат.

Я не буду опровергать то, что вы написали, так как не являюсь WEB-разработчиком и не знаю нюансов, но я верю своим глазам и лично автоматически "подписался" на платную услугу просто при переходе по ссылке в поисковике. Подтверждающие коды по СМС не отправлял.
Правда, надо отдать должное Мегафону, все вернули.

Это да, нужно внимательно.
Мне, например, регулярно приходят такие типа смски, но они автоматически открывают на экране с предложением подключить какую-то услугу...а телефон-то сенсорный, так второпях или просто случайно можно нажать и не туда...а пожилым людям что уж говорить.

PS: своим бабушкам регулярно проверяю через личный кабинет на предмет всякой гадости. То ли везет, то ли внимательные они. Тьфу тьфу тьфу

Да не, было у меня один раз,и на другой тариф перевели без меня..

Это сообщение отредактировал rtr - 28.11.2016 - 13:44

Важны все цифры в ссылке.
Этот механизм работает так: для владельца платной подписки генерится идентификатор и адрес редиректа после посещения официальной страницы МТС с уведомлением о подписке и с ожиданием подтверждения ее от пользователя. После подтверждения подписка применяется и браузер редиректится на страницу владельца подписки. Подтверждение там в любом случае есть, кнопка такая (иногда с отдельной галкой с лиц.соглашением).
Ссылку на эту подписку заворачивают в еще один редиректор (чтобы не палиться, типа). Этот редиректор отправляет на страницу МТС, там юзер читает условия подписки, соглашается, его перебрасывает на сайт с контентом. Таким образом владелец сайта никак не получает доступ к данным абонента. Аналогично схеме работы платежных систем (только смс нет, одна кнопка "согласен/продолжить").

Читай внимательнее, речь не про СМС-ки с предложениями. Речь о том, что на услугу тебя подписывают просто по тыку в поисковую ссылку с яндекса.

Так я не совсем понял, в каком месте я тут успел уведомиться и согласиться?

Давай еще раз. Я ввел запрос в яндекс, он мне выдал эту ссылку в числе прочих. Где тут мои действия по согласию на подписку?

Полагаю там, где вы на автомате щелкнули "продолжить".

Ээээ... перечитал свои сообщения, вроде везде по-русски написано. На всякий случай повторю еще раз. Я не тыкал ни на какие кнопки и ссылки, кроме единственной, выданной мне яндексом. Ни "продолжить", ни "согласен" ни на какие-либо еще. Мамой клянусь, да!

Звоним оператору и сообщаем, что если они не перечислят все снятые за услугу деньги, вы подадите на них в суд за подключение услуги. Доказать, что вы это сделали "в интернете" будет проблематично. Можно добавить: "Все услуги, которые мне необходимы и которые я подключил, прописаны в договоре. Согласия на подключение услуги гудка моя бабушка не подписывала". Этого будет достаточно. Мне деньги вернули в течение 2х дней.

Самое паскудное во всем этом, что страдают пожилые люди, они в принципе не понимают что да как, а сотовые операторы все прекрасно знают и понимают!
(говорю как человек соприкоснувшийся по работе с большой тройкой).
Для сотового оператора дело нескольких дней, в масштабе страны, прекратить действие всяческих лохотронов и разводов связанных с списание денег у абонентов, но это же бабло! А вы представьте даже по рублю в день, в масштабе страны, миллионы.
Но блин, стариков то зачем обманывать, у них и так пенсии не великие, и та же сотка в месяц никак не лишняя!

Гадко и противно!

Жора прям Омерику открыл)

Все операторы наебшики. В России такое ведение бизнесса уже норма.

Билайн охуел , МТС охуел , Пенсионный фонд охуел , правительство охуело ... Продолжи список !

Напиши претензию в офисе, мне мтс вернул вернул деньги, тож платные услуги втихаря подключають.(.уки)

Это сообщение отредактировал mcccllls - 28.11.2016 - 15:33