Контентные воры в любую дырку пролезут. К счастью, их подводит алчность, и после широкомасштабного «набега» на кошельки лазейку заколачивают, а украденные деньги возвращают. Очередное подтверждение тому, что с законодательством в области мобильного контента у нас всё плохо.

Точнее, не плохо, а вообще никак. Эффективных инструментов воздействия нет, а существующими никто не хочет пользоваться. Мороки много, результативность низкая, правоохранителям возиться неинтересно. А остальным невыгодно.

На этот раз «игольным ушком» для «контентного верблюда» оказался универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), запущенный в эксплуатацию в декабре прошлого года, т.е. менее трех месяцев назад. Одним из ключевых преимуществ сервиса является полнофункциональная работа с SMS-сообщениями: из web-портала или специального приложения можно отправлять SMS со своего номера, настраивать фильтры и т. п. Входящие SMS тоже дублируются и сохраняются, на них можно отвечать прямо из web-интерфейса и, при желании, полный архив сообщений остается у вас, что бывает полезно при смене аппарата. Наш обзор этой платформы можно почитать , ключевая для сегодняшнего разбора цитата:

«Регистрация в системе происходит автоматически при первом запуске приложения и вводе номера телефона плюс пароль от Сервис-Гида. Если Сервис-Гидом раньше не пользовались, то проще всего задать пароль USSD-командой *105*01*пароль#пароль# (вместо слова «пароль» - выбранная вами для пароля комбинация цифр)».

Короче говоря, в сервисе UMS реализовали удобную для абонента и прогрессивную схему регистрации пользователя: при заходе на портал UMS регистрация происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду. Юридически это вполне допустимо, так как услуга бесплатна, плюс осознанное действие пользователя (регистрация на портале с вводом пароля) присутствует. К примеру, во многом схожий по функционалу платный сервис SMS+ необходимо предварительно подключить через системы самообслуживания. А с UMS пользователю решили облегчить жизнь, не нужно подключать никаких услуг ни USSD-командой, ни через Сервис-Гид. Что, бесспорно, повысило «дружелюбие» сервиса, но создало дополнительные возможности для злоумышленника.

Событие

Днём 4-го апреля получил сердитое письмо с подробным описанием материализовавшейся на номере подписки. Цитаты с разрешения автора:

«...я абонент МФ Северо-Запад. Вчера вечером приходит СМС «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru (см. скриншот выше). Я не обратил на неё сильного внимания, т.к. иногда приходят СМС с предложением загрузить MMS, SMS и что-то еще. Зашёл на страницу по ссылке, увидел что-то от Мегафона. Но т.к. этой услугой не пользовался - забыл.

Потом пришла вторая СМС (через полтора часа) с цифровым кодом и текстом «Никому не сообщайте персональный код». Тут я сразу же позвонил в контактный центр Мегафон (хорошо что у меня VIP тариф и ожидание оператора меньше минуты). В процессе разговора пришла еще одна СМС с текстом о том, что на мой номер телефона оформлена подписка. Оператор сообщил мне, что «подписался» на платную подписку от сайта spinyla.net, от которой меня сразу же отписали (но 20 рублей снять успели). Так же оставил заявку на возврат денежных средств (20 руб.) Сегодня пришла СМС что заявку удовлетворили, но деньги на счет ещё не поступили. Подождем.

Пароль в Сервис-Гиде Мегафона можно задавать только цифрами (вчерашний век, ну да ладно). Но у меня это не день рождения, а старый номер телефона, откуда я переехал около 10 лет назад. Соответственно его найти перебором практически нереально. Вопрос откуда могли взять пароль? Три варианта на мой взгляд:

1. «взломали» сайт Мегафона
2. Пароль «взяли» из хранилища паролей Google Chrome / Opera (я ими пользуюсь)
3. Пароль «взяли» из приложения Мой Баланс (mbalance.ru) для iPhone

Пункт 1 выглядит маловероятным. Пункт 2 тоже: вирусов на компьютере не обнаружено. Остается пункт 3, как наиболее приближенный к реальности. Не хочется верить, но?».

Подбирать пароль к Сервис-Гиду действительно почти бесполезно. Помимо капчи на входе, там предусмотрены разнообразные ограничения на количество попыток и, наверняка, все прочие системы безопасности. На моей памяти, процедуры входа перерабатывались и «допиливались» раза три, причем это только заметные внешне доработки.

Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру. Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов.

Хронология

Покопался в интернете и обнаружил целую коллекцию одинаковых жалоб на подключение «левой» подписки с полным совпадением всех признаков. Начиная от поступления SMS «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru...» и заканчивая всеми остальными атрибутами, вплоть до общего «контентного партнера» (сайт www. spinyla.net). Время событий тоже примерно совпадало: от позднего вечера 3-го до раннего утра 4-го апреля.

География - самая разная: Москва, Санкт-Петербург, Красноярск, Поволжье. В одном случае «пострадали» все четыре телефонных номера в семье, что косвенно вписывается в предположение об автоматизированном переборе: либо одновременно покупались «соседние» номера, либо, что более вероятно, на всех четырех номерах использовался один общий пароль для Сервис-Гида.

Днем четвертого апреля обобщенной информации еще не было, и абонентские службы вещали кто во что горазд. От «Вы сами подписались!», до «Убедитесь в том, что никто не знает ваш пароль в Сервис-Гид». Надо полагать, что одинаковые жалобы запустили механизм выяснения причин и принятия мер, ближе к вечеру появилась определенность в ответах.

Утром 5-го апреля на сайте МегаФона появилось сообщение о «профилактических работах» и ограничениях в функционировании других приложений, связанных с использованием Сервис-Гида. Совпадения бывают, но больше похоже не на «профилактические», а срочно-аварийные «работы» по ликвидации уязвимости.

К вечеру 5-го апреля эпопея с контентным взломом благополучно (надеюсь) завершилась. Прореху в защите залатали, украденные со счетов деньги вернули. Те, кто списания не заметил, так ничего и не заметят. Для тех, кто заметил и начал скандалить, теперь озвучивают официальную формулировку о технических проблемах на оборудовании и ошибочном подключении подписки. Версия, конечно, забавная: в программном обеспечении произошел некий сбой, который подключил абонентам сервис UMS, отправил SMS-сообщение или ввел номер на сайте, получил SMS c кодом, ввел его и оформил подписку. Упаси нас боже от таких «сбоев», это уже называется «восстание машин».

Что это было?

Всех подробностей мы не узнаем, а в МегаФоне не расскажут. Читал про очень похожие случаи в начале марта, тоже подписка и тоже с подключением сервиса UMS. Правда, пострадавший писал о SMS+, но мог ошибиться или не расслышать. Для подключения SMS+ нужно подбирать пароль на входе в Сервис-Гид, а это дело неблагодарное. И, главное, совершенно ненужное при наличии «дружелюбной» UMS.

Судя по скриншоту детализации, процесс воровства полностью автоматизирован, программисты потрудились на славу. Обратите внимание на время: если верить цифрам, подписка была зарегистрирована через две секунды после получения SMS-сообщения с кодом. Поднять глаза, прочитать и ввести четыре цифры вручную за две секунды вряд ли выполнимо физически. Почти наверняка перебор блоков номеров на входе в портал UMS тоже хорошо автоматизирован, за возможный доход 20 руб./сутки никто не будет корпеть над этим вручную.

Судя по интервалу времени между успешным подбором пароля и подключением подписки (в разных примерах от полутора до пяти часов), «мероприятие» проводят в два этапа: сперва заготавливается порция успешно подобранных пар телефон/пароль, затем эти пары обрабатываются подписками. Затем весь процесс повторяется для следующего блока.

Могу предположить, что денежный потенциал этой схемы оценили давно, софт заказали/написали и друзья-контентщики подворовывают на «левых» подписках уже не одну неделю. Сейчас то ли алчность взыграла, то ли программа попала в руки неумного человека. Который, захотев слишком много денег «здесь и сейчас», неосмотрительно запустил механизм отслеживания фрода. Скромнее надо быть, скромнее.

Страшно себе представить, сколько увлекательных историй прошло через операторские отделы по борьбе с фродом. И сколько историй пока не прошло и, возможно, никогда не пройдет. Вернут (или не вернут) списанное пожаловавшимся и забудут. Всё-таки надо решать вопрос в принципе, а не заниматься латанием прорех в защите и разработкой куцых «Запретов контента». Отключить бы всем доступ к любому платному контенту и подключать только по письменному заявлению. Эх, мечты...

Выводы для нас

То, что нам с вами следует вынести для себя из этой истории.

Хоть и есть поговорка про снаряды, которые дважды в одно и то же место не попадают, я бы на всякий случай проверил в Сервис-Гиде подключение услуги UMS. Вдруг когда-то подключали «для попробовать», а отключать не стали или забыли?

Если услуга не подключена, то при первом успешном входе на портал UMS срабатывает ее автоматическое подключение, в Сервис-Гиде появляется запись «Изменен состав услуг» с указанием даты и точного времени.

Одновременно на телефон приходит SMS-сообщение с предупреждением об успешном входе на портал UMS с использованием данных пользователя (номер телефона и пароль). Для нас это важный «звоночек», после которого можно успеть отключить услугу и/или сменить пароль. Последующие посещения портала происходят незаметно для пользователя. По крайней мере, у меня никаких SMS-предупреждений не было, проверял.

Не лениться использовать пароль максимальной длины и категорически отказаться от традиционных комбинаций вида 12345, даты рождения и т. п.

Обращать внимание на «загадочные» SMS-сообщения и не торопиться их стирать из памяти телефона, может пригодиться для восстановления картины произошедшего.

Ссылки по теме

Сергей Потресов ()

Вопрос не в том, что забивали, а в том, почему не поменяли, если забили неправильно. Это повод поднять вопрос о компетентности людей, которые работают на Байконуре. Наша пилотируемая космонавтика долго сохраняла высокую надежность, потому что все осознавали, что от забитого тобой болта зависит жизнь людей, — сказал «Газете.Ru» Виталий Егоров, популяризатор космонавтики.

Логически точнее производственно действительно вопрос к контролю даже больше чем к самой работе. НО все таки вопрос "почему забивали" остается на повестке дня. И я знаю на него ответ скорее всего.

Странное руководство роскосмоса (и не только) на всех уровнях считает нужным что-то требовать с людей. А методов требования кроме крика и угроз других не имеет. Ну не одарил Бог этим существующую систему. Зато Бог одарил эту систему Электронными таблицами считающими цифры и прочими календарями и обещаниями, которые все вместе показывают что надо делать "быстро и дешево" (Сюрприз - а что еще они могут показать?). Руководителей всех уровней получают угрозы сверху, пугаются и эхом кричат вниз. там еще ниже и еще ниже. и так до того рабочего который ставит узел а так как надо "быстро" и " мне пох на ваши проблемы" то он просто берет кувалду и забивает болт туда куда сказано. Указание выполнено. Крик стих. все молодцы. Так работает система. Не только в роскосмосе - всюду. по всей стране.

Любопытно иное: Система в СССР(а может и не только) работала, насколько я понимаю, точно также. но тем не менее давала меньше сбоев. А все потому, что на разны ступеньках системы стояли профессионалы, которые учебой, ошибками и годами получали опыт. И еще потому что часть этих профессионалов видимо были талантливыми руководителями. и понимали что крик криком, сроки сроками, а делать надо как надо. и вместо прямой трансляции "майских указов президента" пытались трансформировать ситуацию в соответсвии со своим профессиональным представлением о том, что необходимо сделать. Думаю с ними было даже тяжелее работать. Но это было интересно. Их было много, и они появлялись как-то и имели возможность делать то что делали и воспитывать себе подобных. Несмотря на ошибки, репрессии, крики, отсутсвие технологий... Именно этим талантливым людям надо ставить в заслугу "советский космос", ядерную промышленность, Газ, нефть и многое другое что нас пока кормит, а не советскому союзу.

В этом смысле основная претензия к современной системе относительно "советской" как раз в том, что она, как всякая сытая диктатура не терпит профессионалов на управленческих позициях.

Функционал услуги UMS МегаФона очень похож на функционал ставшего легендарным приложения ICQ и других подобных месседжеров

Но есть и существенные, приятные, отличия, о которых, собственно, я и расскажу в своей статье.
Начнем с самого важного, чем же отличается UMS МегаФон от ICQ:
Возможность отправить сообщение не только в приложение, но и на мобильный телефон.
Получать сообщения не только в приложении, но и от остальных абонентов сотовой связи (любого оператора). Иными словами, вы получаете сообщение, через интернет с любого мобильного телефона. При этом не обязательно держать сим карту в телефоне, Вы вполне можете ее положить на полочку.
Очень понравилась функция «Отложенная отправка», можно указать дату и время доставки сообщения. Если Вы будете отправлять сообщение человеку, который не знает о такой программе, то, например, можете написать ему целую оду и отправлять частями каждый час… В общем, вариантов использования данной функции – много, стоит только подключить воображение. Например, можно отправить поздравление с днем рождения за несколько дней до самого дня рождения, чтобы не забыть.
Отправить координаты Вашего текущего местоположения.
Остальные функции, которые имеются в приложении, в общем то, повторяют набор функций традиционной аськи, я его опишу очень кратко:
Бесплатный обмен сообщениями в рамках программы с небольшим расходом интернет трафика.
Возможность отправки мультимедиа контента.
Просмотр истории сообщений, причем, даже если Вы получили сообщение на телефон, оно дублируется на сервере. Таким образом, вполне можно восстановить историю смс, если телефон утрачен. История будет храниться с момента регистрации в услуги и включения настройки на сохранение СМС.
Возможность отправлять сообщения с компьютера и со смартфонов на базе операционных систем Android, Windows Phone и iOS
Подключение к соц сетям, обмен сообщениями и в них.

Ниже я приведу инструкцию по использованию услуги UMS МегаФон.

1. Подключить услугу с телефона. Подключение: СМС ”Вкл” или ”On” (без ковычек) на номер 5598 (сообщение бесплатное).
*598*1#
2. Необходимо получить пароль от услуги «Сервис гид». Для этого наберите на телефоне, который будет использоваться для регистрации в приложении, команду *105*# и клавишу вызова. В ответ Вам должен прийти пароль. Запомните или запишите его.
3. Зайдите на сайт: https://messages.megafon.ru/user/toUserPage.do

4. Введите Ваш номер телефона, пароль, и защитный код. Нажмите кнопку «Войти».
5. Далее вы попадаете в основное меню программы (при первом входе у Вас должны запросить подтверждение на подключение к оферте, примите его).

6. Думаю, далее нет смысла объяснять, что делать.
Процесс регистрации на мобильных устройствах аналогичен. Единственное отличие в том, что на прежде чем приступить к пункту 1 Вам потребуется скачать из play market или App Store программу. Через поиск Вы ее легко сможете найти введя запрос «UMS», произведено компанией MegaLabs.

На тот случай, если Вы не хотите, чтобы Ваши СМС продолжали сохраняться на сервере, услугу UMS МегаФон лучше отключить.

Отключение:
СМС ”Выкл” или ”Off” (без ковычек) на номер 5598 (сообщение бесплатное).
*598*2#
Если у Вас возникли вопросы или Вам просто понравилась данная статья – прошу оставить комментарии и подписываться на новости.

В последние 4 дня в Сети начала появляться волна жалоб абонентов компании «Мегафон». Основная масса связана с несанкционированными подписками на платные SMS-сервисы. Это стало возможным из-за наличия уязвимости в новом сервисе UMS.
Ситуацию усугубляет слабость законодательства в РФ и отсутствие результативности раскрытия таких преступлений правоохранителями. Самим же операторам, судя по всему решать проблему угона средств со счетов абонентов с использованием SMS-подписок попросту не выгодно.

Возвращаясь к «Мегафону», брешь в безопасности найдена и эксплуатируется в сервисе для работы с социальными сетями и сообщениями UMS. Этот сервис был запущен оператором в декабре 2012 года. Одним из преимуществ называется полноценная работа с SMS сообщениями, предоставляется функционал по чтению и отправке сообщений. Абоненты подключаются к нему автоматически, для этого нужно ввести номер телефона и пароль от сервиса Сервис-Гида.

Внешне все выглядит удобно для абонентов, но это только внешне. Если в сервисе Сервис-Гиде есть хоть какое-то подобие защиты с вводом «защитного кода», то в случае с UMS есть возможность проведения перебора паролей. С учетом того, что на большинстве номеров используется только цифровая комбинация, подбор пароля лишь вопрос временем, а с учетом, что длина может быть 4 символа, нахождение пароля проходить очень быстро. Получив пароль для входа, злоумышленники получают доступ не только к SMS сообщениям абонента, но и к системе Сервис.Гид. В данные момент эта брешь безопасности используется для осуществления массовых платных СМС-подписок. По сообщениям, появляющимся в сети, оператор со своей стороны заявляет о необходимости письменного обращения для возврата средств. Но, при этом если в случае использования в качестве основной SIM-карты худо бедно потерю средств можно заметить, то в случае нахождении SIM-карты в модемах о проблеме можно будет узнать только при возникновении весомого долга на счету.

Еще один из подводных камней, который может проявиться в скором времени может быть связан с SMS функционалом. Одной из самых серьезной опасностей может стать доступ к Интернет-банкингу, и осуществлением манипуляций уже с банковским счетом.

Рекомендую провести проверку настроек своего лицевого счета и отключить доступ к услуге UMS в том виде, котором она сейчас введена кроется большое число подводных камней, сделать это можно в сервисе Сервис.Гид.

Комментарии:

В последнее время у геймеров вовсе нет проблем с выбором компьютерного корпуса, так как на рынке есть цел...

Компания Intel представила довольно необычный ноутбук Honeycomb Glacier, который является игровым решение...

На рынке игровой периферии уже достаточно долго не происходит ничего нового, так как компании уже все исп...

Компания FSP показала в рамках выставки Computex 2019 компьютерный корпус CMT710, который имеет конструкц...

Компания X2 Products представила компьютерный корпус Abkoncore Cronos 710S, который предназначен для созд...

В наше время неотъемлемой составляющей жизни является общение. Оставаться на связи важно практически для каждого: как в личных, так и рабочих целях. СМС-сообщения, электронная почта, мессенджеры и общение в социальных сетях – коммуникации современного поколения различны. Для каждого варианта приходится устанавливать на телефон отдельные программы и приложения, хотя есть и стандартные сервисы по умолчанию. Для объединения всех способов коммуникации можно использовать UMS от МегаФон.

Что это такое

UMS – это универсальная коммуникационная система от оператора МегаФон. Возможности сервиса включают отправку сообщений другим абонентам, общение в соцсетях и работу по email.

Таким образом, нет необходимости в установке большого количества приложений на свое устройство. Если нужно, можно зайти в сервис через мобильную версию.

Возможности сервиса UMS от МегаФон следующие:

• Отправка или получение электронных писем.
• Работа с лентой социальных сетей.
• Отправка и получение сообщений в социальных сетях.
• Хранение СМС и MMS-сообщений.
• Фильтр по черному списку.
• Создание автоматических ответов на сообщения (СМС, MMS).
• Уведомление о входящих сообщениях через специальный канал.
• Хранение номеров телефона.

Благодаря хранению истории сообщений, сервис является достаточно удобным. В целях безопасности уведомления из банков или от оператора здесь не будут сохраняться.

Присутствует опция отложенной отправки, а также переадресация на номера других абонентов. Кроме того, можно добавить подпись к сообщению в автоматическом режиме. Количество является лимитированным – не больше семидесяти в день (это касается как СМС, так и MMS). Если получатель не использует сервис, тарификация осуществляется, согласно тарифу того, кто отправляет сообщение.

Вход в Личный кабинет UMS

У сервиса UMS от оператора МегаФон и Личного кабинета одинаковый пароль для авторизации. Из-за этого мобильным абонентам не требуется запоминать дополнительно информацию для входа. Зайти в сервис UMS от МегаФона можно с помощью специального интернет-портала, который находится по ссылке https://messages.megafon.ru/ . На мобильных телефонах и планшетах удобно использовать соответствующее приложение, функционал которого является аналогичным.

Сколько стоит использование сервиса

Если говорить о стоимости сервиса UMS от оператора МегаФон, то необходимо отметить, что абоненты могут обрадоваться – использование этой системы является совершенно бесплатным. Однако если пользователь отправляет СМС на номер, владелец которого не применяет UMS, тарификация осуществляется, согласно тарифу отправителя. Других платежных операций сервис UMS не предполагает, что считается значительным преимуществом.

Для подключения UMS на номер оператора, зайдите на страницу интернет-портала сервиса, введите данные для входа в Личный кабинет, поставьте отметку о том, что вы согласны с условиями использования. Затем необходимо только подтвердить с помощью СМС вход. Готово! Вы можете на бесплатной основе пользоваться сервисом UMS. Есть и альтернативные варианты для подключения:

• Через мобильное приложение.
• Через запрос USSD — *598*1#.
• Через отправку СМС с текстом ВКЛ или ON на номер оператора 5598 (это бесплатно).