Котелочек, вари, мобилка, плати
Уважаемый товарищ unis спросил, а что за SMS ему пришло от Вконтакта и в чём собственно цимес и развод?
Разберём данное сообщение. Понятно, что это платёж. Но откуда взялась фраза "Не передавайте код никому"? Мы настолько глупые, что не поймём, что этот код нельзя передавать, чтобы денежка не списалась? Мы конечно умные, на воду дуем, но попробуем заплатить например на условном сайте "Ололо", покупая кошелёк из Китая и получим SMS другого формата "Для подтверждения заказа ХХХ отправьте цифру 8 в ответном SMS". А вот фразы насчёт кода, да и кода самого то не будет. Отчего же так?
Хотя всё это платежи с мобильного счёта, но, принцип действия разный. В приведённом мной примере, вы сделали заказ, подтвердили, получили услугу, спите спокойно. А код, о котором идёт речь в посте, это услуга PayByClick, "Легкий платёж" (называется у разных операторов по разному).
Как это работает? Человек регистрируется на неком сайте, Одноклассники, Вконтакте и т.д, активно рубиться во флэш-игры или иными непотребствами занимается, которые требуют виртуальной валюты на данном ресурсе. Причём, валюта может ему потребоваться в самый неподходящий момент, в три часа ночи, например. Что же делать? А всё просто, привяжи номер телефона к сайту (как раз таки путём подтверждения кодом полученной по SMS) и просто кликай по определённой кнопке, когда захочешь пополнить виртуальный баланс, а денежка будет автоматически списываться с мобильного счёта привязанного к сайту.
Каков же механизм фрода? Дело в том, что люди не понимают, что привязка номера при регистрации на сервисе и подтверждение привязки PayByClick это не одно и тоже. SMS от рандомного сервиса может не содержать информации о платеже, так как платежа ты не совершаешь, а создаёшь привязку для последующих платежей. Просто приходит сообщение "Ваш код подтверждения на сайте ХХХ такой ХХХ. Не передавайте этот код никому!". Теперь моделируем ситуацию с применением небольшой порции социального инжиниринга, сидит перед компом в какой то пошлой группе изнывающий от одиночества мужчина. И видит сообщение от прекрасной девушки, "пошалю по скайпу с мужчиной". Ну он не против такого предложения, да ещё бесплатно. Вступает в переписку, а девушка его просит о сущем пустячке, она хочет создать ещё одну страницу в Одноклассниках, а на её номер уже есть, не могли бы вы любезно продиктовать код, который придёт на телефон ваш? Задурманенный юзер думает - "ну передам код, подумаешь, Одноклассники, чего будет то?". И всё, деньги начинают списываться злоумышленниками без особых проблем. Потому что подумаешь, "Не передавайте код никому". А почему бы его не передать? Люди просто не знают, чем это грозит, поэтому передают, это как раз вопрос недостаточного обеспечения quality assurance продукта или решения.
Бывают другие ситуации, могут ломануть страницу и пройтись по знакомым, кто то, да на доверии скажет код, знакомому же говорю, что будет? Бывает, что непорядочные внуки-дети, привязывают телефоны своих родителей и крадут их денежки (это вообще классика). В общем вариантов уйма.
Напоследок, приведу скрины типичных ситуаций:
Разберём данное сообщение. Понятно, что это платёж. Но откуда взялась фраза "Не передавайте код никому"? Мы настолько глупые, что не поймём, что этот код нельзя передавать, чтобы денежка не списалась? Мы конечно умные, на воду дуем, но попробуем заплатить например на условном сайте "Ололо", покупая кошелёк из Китая и получим SMS другого формата "Для подтверждения заказа ХХХ отправьте цифру 8 в ответном SMS". А вот фразы насчёт кода, да и кода самого то не будет. Отчего же так?
Хотя всё это платежи с мобильного счёта, но, принцип действия разный. В приведённом мной примере, вы сделали заказ, подтвердили, получили услугу, спите спокойно. А код, о котором идёт речь в посте, это услуга PayByClick, "Легкий платёж" (называется у разных операторов по разному).
Как это работает? Человек регистрируется на неком сайте, Одноклассники, Вконтакте и т.д, активно рубиться во флэш-игры или иными непотребствами занимается, которые требуют виртуальной валюты на данном ресурсе. Причём, валюта может ему потребоваться в самый неподходящий момент, в три часа ночи, например. Что же делать? А всё просто, привяжи номер телефона к сайту (как раз таки путём подтверждения кодом полученной по SMS) и просто кликай по определённой кнопке, когда захочешь пополнить виртуальный баланс, а денежка будет автоматически списываться с мобильного счёта привязанного к сайту.
Каков же механизм фрода? Дело в том, что люди не понимают, что привязка номера при регистрации на сервисе и подтверждение привязки PayByClick это не одно и тоже. SMS от рандомного сервиса может не содержать информации о платеже, так как платежа ты не совершаешь, а создаёшь привязку для последующих платежей. Просто приходит сообщение "Ваш код подтверждения на сайте ХХХ такой ХХХ. Не передавайте этот код никому!". Теперь моделируем ситуацию с применением небольшой порции социального инжиниринга, сидит перед компом в какой то пошлой группе изнывающий от одиночества мужчина. И видит сообщение от прекрасной девушки, "пошалю по скайпу с мужчиной". Ну он не против такого предложения, да ещё бесплатно. Вступает в переписку, а девушка его просит о сущем пустячке, она хочет создать ещё одну страницу в Одноклассниках, а на её номер уже есть, не могли бы вы любезно продиктовать код, который придёт на телефон ваш? Задурманенный юзер думает - "ну передам код, подумаешь, Одноклассники, чего будет то?". И всё, деньги начинают списываться злоумышленниками без особых проблем. Потому что подумаешь, "Не передавайте код никому". А почему бы его не передать? Люди просто не знают, чем это грозит, поэтому передают, это как раз вопрос недостаточного обеспечения quality assurance продукта или решения.
Бывают другие ситуации, могут ломануть страницу и пройтись по знакомым, кто то, да на доверии скажет код, знакомому же говорю, что будет? Бывает, что непорядочные внуки-дети, привязывают телефоны своих родителей и крадут их денежки (это вообще классика). В общем вариантов уйма.
Напоследок, приведу скрины типичных ситуаций: