Я знаю, тема уже не новая, об этом не раз уже писали, но на этот раз мошенники пошли ещё дальше -- теперь чтобы подписаться на платную услугу не нужно открывать никаких ссылок из SMS, а достаточно просто кликнуть на рекламный банер в приложении (в ближайшей перспективе даже это может быть не обязательно). В данном посте речь пойдёт о новой мошеннической партнёрской сети
PhoneClick. В зоне риска находятся все абоненты МТС, пользующиеся смартфонами и планшетами с 3G-интернетом на платформах Android и iOS (
пруф-линк, что iOS тоже). Разумеется, всё это стало возможным не без помощи со стороны МТС, который до предела упростил жизнь контент-провайдерам, и чтобы не утонуть в судебных исках, МТС имеет услугу "
запрет контента". Правда услуга эта не публичная, подключить её через интернет-помощник нельзя, для этого необходимо звонить оператору в техподдержку по 0890 или приходить лично в офис МТС. А ещё лучше оформить
доп. соглашение на запрет подключения каких-либо услуг без письменного заявления от абонента, чтобы уж наверняка.
Я знал и раньше об услуге "Запрет контента", но не спешил её подключать, т.к. считал, что эта услуга предназначена для малограмотных людей, которые не думая отправляют SMS на короткие номера или выполняют USSD-запросы, описанные в сомнительных SMS. У меня ни разу в жизни не было проблем с этим, поэтому я считал, что это меня не касается, но я ошибался, т.к. на днях я с этим столкнулся. И забегая вперед, хочу сказать, что "запрет контента" необходимо подключить всем абонентам МТС, которые имеют подключенный интернет через 3G, и подключить его лучше заранее, лучше прямо сейчас, не откладывая. Потому что иного способа не пострадать от мошенников не осталось -- это лишь вопрос времени. Вот как было дело у меня.
Я установил на свой Android-смартфон детское приложение, которое представляло собой хорошо нарисованного рыжего кота, которого можно было гладить по голове, щекотать за живот, чистить ему зубы, а кроме этого он повторял всё им услышанное смешным голосом. Приложение было бесплатным, в списке требуемых привилегий не было ничего криминального, имело более 10 миллионов загрузок, оценки пользователей были сплошь положительными (4-5 баллов), разработчик отмечен гуглом как "Лучший разработчик". Вроде бы можно не ждать от такого приложения какой-либо подставы?
Какое-то время мой трехлетний ребенок с удовольствием играл в эту игру, но позавчера я запустил игру с выключенным WiFi (но включенным 3G) и сразу обратил внимание на то, что в игре появилась банерная реклама, которой раньше не было. Ребёнок играл с телефоном при мне и я не выпускал телефон из виду. Через несколько минут на телефон пришло 2 SMS с номера 770535. В первом сообщалось о том, что услуга Подписка "Метеопрогноз для женщин" подключена, что первые 7 дней будут бесплатны, а затем с меня будут брать по 5 рублей в сутки, для управления платными услугами нужно было нажать *152#вызов. Во втором SMS был собственно сам метео-прогноз на завтра для Москвы (хотя сам я из другого города).
Я сперва решил, что это либо ошибка, либо какой-то развод, т.к. ни на какую услугу я не подписывался. SMS скорее всего отправлены не оператором, а через SMS-гейт, а подвох может быть в том USSD-запросе. Там было сказано, что этот USSD-запрос бесплатен, но нельзя же верить тому, что написано в SMS-сообщении, полученном от непоймикого! Тем не менее я всё же решил проверить и через интернет-помощник сделал запрос детализации -- никаких исходящих SMS в тот день не было. В списке подключенных услуг в интернет-помощнике тоже не было ничего лишнего. Я почти было успокоился, но нашел другой сайт МТС (спрятанный в "Ещё"), на котором отдельно можно управлять подписками на услуги контента --
moipodpiski.mts.ru. И там я нашел, что у меня действительно подключена платная услуга Метеопрогноз по SMS. Я был шокирован: КАК?! Стал копаться в интернете и нарыл статью о новой изначально
мошеннической партнёрской сети PhoneClick, которая появилась в июле 2012 года и как раз специализируется на платных подписках всего за 1 клик и без использования SMS.
Пока я ждал ответа оператора техподдержки МТС, я прокручивал в голове то, как сын играл с телефоном и предположил, что ребенок возможно нажал на один из тех банеров в игре. Помню был какой-то непонятный момент, когда игра подвисла и как будто чего-то ждала, я только нажал на телефоне кнопку "Назад", после чего игра продолжилась. Я даю руку на отсечение, что там не было никакой страницы с условиями и ни на какие кнопки на экране никто не нажимал. По всей видимости, приложение сделало это каким-то образом само в автоматическом режиме. Мне ещё повезло, что меня подписали на услугу, которая имеет бесплатный период, что моя подозрительность меня не подвела и я вовремя принял меры. Но могло быть и иначе, с меня могли сразу списать рублей 300, к примеру, и мне бы предстояло доказывать МТС, что я не верблюд. Общение с оператором техподдержки свелось к тому, что у них всё законно, что ни с какими мошенниками они не сотрудничают, от платной услуги меня отписали и подключили мне услугу "запрет контента", чтобы это не повторилось в будущем. Хотя это обязательно повторится с кем-то из других 100 миллионов их абонентов. Причём, всё описанное здесь касается исключительно оператора МТС, у других операторов требования к подпискам более жесткие, но это скорее вопрос времени, а не какой-то принципиальной позиции. Все сотовые операторы получают немалую прибыль от этого дополнительного источника дохода, и по своей воле они от него не откажутся. Таким образом МТС одной рукой создаёт своим абонентам проблемы, а другой рукой их решает и имеет с этого неплохой навар.
Как же такое стало возможным?
Не так давно (затрудняюсь сказать точно) МТС внедрило какой-то новый внутренний сервис, который позволил телефонным мошенникам контент-провайдерам, подписывать своих абонентов на платные услуги через интернет с подтверждением подписки также через интернет. Человек заходит на какой-то сайт, выбирает какую-то услугу, открывается страница с условиями и стоимостью (landing page), после чего пользователь нажимает "OK" в знак согласия и услуга подключается (причем кнопки "отказаться" там нет, нужно нажимать телефонную кнопку "назад", сообщение выглядит как простое окно уведомления, на котором нужно нажать "ок", чтобы продолжить). Для МТС вход на сайт контент-провайдера через 3G с SIM-карты абонента является достаточным признаком того, что эти действия совершает сам пользователь, а не кто-либо другой. Но в МТС не могли не понимать того, что на сайт может зайти не сам пользователь, а какая-нибудь установленная на его телефоне программа. И мошенники, такие нехорошие, взяли и воспользовались данной уязвимостью, которую им любезно предоставила МТС. Доступ в интернет сейчас имеют 99% мобильных приложений Android/iPhone, и быть уверенным в порядочности всех разработчиков просто невозможно. К тому же приложения используют этот механизм не напрямую, а через партнёрскую сеть PhoneClick, которую разработчики встраивают в свои приложения для монетизации наравне со стандартной банерокрутилкой AdMob от Google, и могут просто не знать о том, что PhoneClick использует какие-то нелегальные методы. Так что винить разработчиков приложений, которые используют данную партнёрку, тоже не совсем правильно. Корень зла находится в МТС, а PhoneClick и вредоносные программы -- это уже ветки.
МТС оправдывается тем, что:
- Пользователю показывается страница с условиями платности и у пользователя есть возможность отказаться. Как я лично сумел убедиться, мошенники успешно обходят это ограничение, либо выводят информацию о платности услуги мелким шрифтом бледного цвета.
- При подписке абоненту приходит SMS. Вот только приходит она после подключения услуги в начале её предоставления. Поэтому деньги могут списывать сразу по факту первой полученной SMS, а она приходит одновременно с SMS о подключении услуги. Бесплатный период -- это опция, а не правило.
- Размеры единовременных платежей не превышают 300 рублей. Ага, это такая психологическая сумма, из-за потери которой абонент вряд ли пойдет подавать на сотового оператора в суд. Покричит, покричит, да успокоится. Уходить к другому оператору бессмысленно, у других то же самое.
На мой взгляд в действиях МТС есть признаки нарушения законодательства, но я не юрист, и не могу четко сформулировать что именно они нарушают. Дело в том, что они вынесли криминальную составляющую на аутсорсинг и сами как бы не при делах. Конкретные факты мошенничества осуществляются со стороны приложений, использующих PhoneClick. При этом установить кто именно ответственен за мошенничество (разработчик приложения или разработчик PhoneClick) без декомпиляции и реверсивного инжиниринга невозможно. Каждый из участников этой схемы в отдельности не совершает действий, тянущих на полноценный состав преступления. Преступление совершается в результате совокупного действия участников, которые между собой не знакомы, и поймать их за руку практически невозможно. Тут как с автомобильными угонами: один вскрывает, второй заводит, третий уезжает.
По сути поведение МТС можно сравнить с тем, как если бы банк принимал деньги вкладчиков на депозитные счета и выбрасывал бы пароли от их интернет-банков в мусорный контейнер на улице. И когда клиенты стали жаловаться на то, что кто-то украл их деньги, банк делает удивленные глаза: "ух-ты! действительно украли! держи вора!", но при этом ничего не меняет в своей работе, а всем пострадавшим клиентам обещает, что конкретно с их счетом такое больше не повторится.
Я в любом случае направлю по этому поводу жалобу на МТС в Роспотребнадзор, а там буду думать можно ли каким-то образом обязать МТС отменить такой способ подписки на платные услуги в судебном порядке.
Прошу оказать поддержку перепостом, т.к. мой ЖЖ-аккаунт малоизвестный, а заставить МТС отказаться от такого "сервиса" для своих абонентов добровольно может позволить только шумиха вокруг этой проблемы.
(c) Павел Мелехов, ноябрь 2012.
UPD. Мне пишут, что Билайн 2 месяца назад запустил такую же байду, так что всё написанное выше про МТС, справедливо и для Билайна.