Уже давно как не смешные анекдоты ходят истории о платных мобильных подписках на IoT устройствах.
С Пикабу:
Всем понятно, что без действий сотовых операторов эти подписки не обходятся.
Но операторы сотовой связи упорно утверждают, что это абоненты лохи:
За много лет я ни разу не подхватывал эту заразу и, даже думал, что люди так попадают из-за своей компьютерной безграмотности. Но я ошибался…
Недавно, расшарив интернет с Мегафона, я сидел и тихо работал за компом до тех пор, пока при переходе по очередной ссылке в гугле не произошёл редирект:
и мне открылось вот такое окно:
Я сразу понял, что это оно! То самое, о чём так часто пишут и меня сейчас попытаются развести на деньги.
Так как у меня на счету этого телефона 0 рублей и нет всяких «Кредитов доверия», то я нажал кнопку «Продолжить».
Произошёл редирект на другую страницу. Оформление очень схожее с первой.
Обычный человек не заострит на этом внимание и подумает, что содержимое осталось такое же.
Но серый, еле заметный текст совершенно другой:
Нажатием на кнопку «Продолжить» Вы подтверждаете своё согласие с подключением подписки vsewap.ru и Условиями предоставления подписки. Стоимость подписки 35.0 руб. с учетом НДС за 1 день. Оплата производится с основного счета. Услуга предоставляется Контент-провайдером ООО Информпартнер.
Продолжаю эксперимент и жму «Продолжить». И прилетает SMS…
подписка оформлена! Разумеется, что я сразу её отключил.
Как большинство думает в таких случаях, что у меня, наверняка, вирус на компе и он меня редиректнул на сайт контент-провайдера.
Но в данном случае делает редирект именно Мегафон по той же технологии которая Вас редиректит в случае каких либо ограничениях интернета либо применяется wap-click. К сожалению более точно сказать не могу.
Ищу место откуда растут «ноги»
Проверяю кому принадлежит домен, сайт на котором меня хочет «развести»:
Как неожиданно! Домен принадлежит Мегафону!
И такое совпадение, что ip вэб-сервера тоже принадлежит Мегафону:
nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226
inetnum: 31.173.32.0 - 31.173.39.255
netname: MF-MOSCOW-BBA-POOL-31-173-32
descr: Moscow Branch of OJSC MegaFon
role: Moscow Branch of PJSC <b>MegaFon Internet Center</b>
Можно предположить, что кто-то из клиентов Мегафона занимается мошенничеством и просто подставляет честного оператора.
Поверяем сайт, который позволяет управлять подписками всех известных Мегафону контент-провайдеров moy-m-portal.ru
Он так же принадлежит мегафону:
whois moy-m-portal.ru
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% www.ripn.net/about/servpol.html#3.2 (in Russian)
% www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: MOY-M-PORTAL.RU
nserver: ns1.misp.ru.
nserver: ns2.misp.ru.
state: REGISTERED, DELEGATED, VERIFIED
org: North-West Branch of PJSC «MegaFon»
registrar: RU-CENTER-RU
admin-contact: www.nic.ru/whois
created: 2016-04-07T15:00:38Z
paid-till: 2020-04-07T15:00:38Z
free-date: 2020-05-08
source: TCI
Last updated on 2019-04-18T11:31:32Z
И он так же расположен на тех же ip, что и сайт мошенников!
nslookup moy-m-portal.ru
Name: moy-m-portal.ru
Address: 31.173.34.227
Name: moy-m-portal.ru
Address: 31.173.34.226
Предположим, что оператор использует балансировщик класса Citrix Netscaler, который, например, подставляет ID абонента для его идентификации.
Смотрим какие ещё домены были замечены на этих адресах:
dnslytics.com/reverse-ip/31.173.34.226
dnslytics.com/reverse-ip/31.173.34.227
А их всего 19!
Что-то слишком жидко для дорогущего оборудования…
Большинство зарегистрировано в марте 2019 («created: 2019-03-20»)
Заходя на любой из них, Google Chrome сообщает, что у Вас могут украсть деньги:
То есть все домены, принадлежащие Мегафону, замечены в мошеннических действиях с платными подписками!
А мы хорошо помним, что по Российскому праву (ситуация с создателем Kate Mobile) ответственность за действия, произведённые с конкретного ip несёт владелец IP. А тут ещё совпадает и владелец домена…
Я решил посмотреть на сайты, на которые подписывает Мегафон (из списка, размещённого здесь: moy-m-portal.ru ). Конечно не все, а с благословения великого Рандома.
Сайты, за которые зацепился глаз
zvoook.com
Creation Date: 2019-02-18T07:32:00Z
Registrant Name: Protection of Private Person
Registrar: Registrar of domain names REG.RU LLC
yottupe.com
Creation Date: 2019-04-08T17:47:46Z
Registrant Name: Protection of Private Person
registrar: REGRU-RU
futod.space
Creation Date: 2019-03-26T23:01:18.0Z
Registrant Organization: Privacy Protection
registrar: REGRU-RU
vkusnopoedim.com
Creation Date: 2019-03-21T11:52:58Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
zavcev.com
Creation Date: 2019-02-18T10:33:48Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
MUSICA-YONTUBE.COM
Creation Date: 2019-03-11T12:41:40Z
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
files-zilla.com
Creation Date: 2019-02-18T10:33:14Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
Итого:
Все они зарегистрированы у регистратора REG.RU
У всех скрыта организация-владелец
Все они свежие. Точнее новые появляются с завидной регулярностью. (можно отследить даже хронологию).
На всех сайтах в футере как по шаблону один и тот же текст
Стоимость доступа по подписке составляет 35 рублей с НДС в сутки для абонентов ПАО «МегаФон; по разовой оплате — 150 рублей (включая НДС) за 30 дней для абонентов ПАО «МегаФон»; Продление доступа по подписке происходит автоматически. Для отказа от предоставления Подписки на услугу отправьте SMS-сообщение со словом СТОП<пробел>113 на номер 5151 для абонентов ПАО «МегаФон». Cообщение бесплатно в домашнем регионе. Служба технической поддержки ООО «Информпартнер»: 8 800 500-25-43 (звонок бесплатный), e-mail: [email protected]
И офер везде одинаковый vk-vid.com/site/offer
Ну не может быть, что сотни сайтов созданы только ради абонентов Мегафона! А если клиент Билайна захочет получить этот контент?..
Слишком много совпадений…
В последнее время если абонент жалуется в тех.поддержу из-за того, что у него списали деньги за левую подписку, то ему эти деньги возвращают.
Так вот если бы деньги перечислялись левым контент-провайдерам, то сотовый оператор не стал бы из своего кармана отдавать абоненту деньги! Мегафон боится, что если начнутся массовые жалобы в правоохранительные органы, то рано или поздно такие действия квалифицируют по 159 УК РФ. И никакого ООО «Инфопартнёра» в этой цепочке не будет! Дешевле заткнуть возмущённых в самом начале.
Установка всяких защит от подписок на Мегафоне — не помогает
Таким образом Мегафон даже не пытается скрыть, что это они обманом подписывают абонентов на дорогущий *****-контент…
Подпишут 200 000 человек на рассылку в 35 рублей. 100 000 возмутятся и они им вернут деньги на счёт. С остальных 3,5 ляма в сутки в бюджет компании…
В данном случае я изучил поведение одного оператора связи — Megafon. Но, судя по отзывам, таким промышляют все операторы РФ (кроме YotaRussia ).
Зайдя на сайт специализированного хостинга для таких сайтов мы увидим в партнёрах тех, кого мы знаем и «любим»
nslookup zvoook.com
Name: zvoook.com
Address: 78.140.175.32
Name: zvoook.com
Address: 78.140.175.19
nslookup 78.140.175.19
19.175.140.78.in-addr.arpa name = webwap.org.
Получается, что это организованное преступное сообщество, занимающееся мошенничеством в особо крупных масштабах?
Источник
С Пикабу:
Всем понятно, что без действий сотовых операторов эти подписки не обходятся.
Но операторы сотовой связи упорно утверждают, что это абоненты лохи:
За много лет я ни разу не подхватывал эту заразу и, даже думал, что люди так попадают из-за своей компьютерной безграмотности. Но я ошибался…
Недавно, расшарив интернет с Мегафона, я сидел и тихо работал за компом до тех пор, пока при переходе по очередной ссылке в гугле не произошёл редирект:
и мне открылось вот такое окно:
Я сразу понял, что это оно! То самое, о чём так часто пишут и меня сейчас попытаются развести на деньги.
Так как у меня на счету этого телефона 0 рублей и нет всяких «Кредитов доверия», то я нажал кнопку «Продолжить».
Произошёл редирект на другую страницу. Оформление очень схожее с первой.
Обычный человек не заострит на этом внимание и подумает, что содержимое осталось такое же.
Но серый, еле заметный текст совершенно другой:
Нажатием на кнопку «Продолжить» Вы подтверждаете своё согласие с подключением подписки vsewap.ru и Условиями предоставления подписки. Стоимость подписки 35.0 руб. с учетом НДС за 1 день. Оплата производится с основного счета. Услуга предоставляется Контент-провайдером ООО Информпартнер.
Продолжаю эксперимент и жму «Продолжить». И прилетает SMS…
подписка оформлена! Разумеется, что я сразу её отключил.
Как большинство думает в таких случаях, что у меня, наверняка, вирус на компе и он меня редиректнул на сайт контент-провайдера.
Но в данном случае делает редирект именно Мегафон по той же технологии которая Вас редиректит в случае каких либо ограничениях интернета либо применяется wap-click. К сожалению более точно сказать не могу.
Ищу место откуда растут «ноги»
Проверяю кому принадлежит домен, сайт на котором меня хочет «развести»:
Как неожиданно! Домен принадлежит Мегафону!
И такое совпадение, что ip вэб-сервера тоже принадлежит Мегафону:
nslookup truvpro.ru
Name: truvpro.ru
Address: 31.173.34.227
Name: truvpro.ru
Address: 31.173.34.226
inetnum: 31.173.32.0 - 31.173.39.255
netname: MF-MOSCOW-BBA-POOL-31-173-32
descr: Moscow Branch of OJSC MegaFon
role: Moscow Branch of PJSC <b>MegaFon Internet Center</b>
Можно предположить, что кто-то из клиентов Мегафона занимается мошенничеством и просто подставляет честного оператора.
Поверяем сайт, который позволяет управлять подписками всех известных Мегафону контент-провайдеров moy-m-portal.ru
Он так же принадлежит мегафону:
whois moy-m-portal.ru
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% www.ripn.net/about/servpol.html#3.2 (in Russian)
% www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: MOY-M-PORTAL.RU
nserver: ns1.misp.ru.
nserver: ns2.misp.ru.
state: REGISTERED, DELEGATED, VERIFIED
org: North-West Branch of PJSC «MegaFon»
registrar: RU-CENTER-RU
admin-contact: www.nic.ru/whois
created: 2016-04-07T15:00:38Z
paid-till: 2020-04-07T15:00:38Z
free-date: 2020-05-08
source: TCI
Last updated on 2019-04-18T11:31:32Z
И он так же расположен на тех же ip, что и сайт мошенников!
nslookup moy-m-portal.ru
Name: moy-m-portal.ru
Address: 31.173.34.227
Name: moy-m-portal.ru
Address: 31.173.34.226
Предположим, что оператор использует балансировщик класса Citrix Netscaler, который, например, подставляет ID абонента для его идентификации.
Смотрим какие ещё домены были замечены на этих адресах:
dnslytics.com/reverse-ip/31.173.34.226
dnslytics.com/reverse-ip/31.173.34.227
А их всего 19!
Что-то слишком жидко для дорогущего оборудования…
Большинство зарегистрировано в марте 2019 («created: 2019-03-20»)
Заходя на любой из них, Google Chrome сообщает, что у Вас могут украсть деньги:
То есть все домены, принадлежащие Мегафону, замечены в мошеннических действиях с платными подписками!
А мы хорошо помним, что по Российскому праву (ситуация с создателем Kate Mobile) ответственность за действия, произведённые с конкретного ip несёт владелец IP. А тут ещё совпадает и владелец домена…
Я решил посмотреть на сайты, на которые подписывает Мегафон (из списка, размещённого здесь: moy-m-portal.ru ). Конечно не все, а с благословения великого Рандома.
Сайты, за которые зацепился глаз
zvoook.com
Creation Date: 2019-02-18T07:32:00Z
Registrant Name: Protection of Private Person
Registrar: Registrar of domain names REG.RU LLC
yottupe.com
Creation Date: 2019-04-08T17:47:46Z
Registrant Name: Protection of Private Person
registrar: REGRU-RU
futod.space
Creation Date: 2019-03-26T23:01:18.0Z
Registrant Organization: Privacy Protection
registrar: REGRU-RU
vkusnopoedim.com
Creation Date: 2019-03-21T11:52:58Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
zavcev.com
Creation Date: 2019-02-18T10:33:48Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
MUSICA-YONTUBE.COM
Creation Date: 2019-03-11T12:41:40Z
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
files-zilla.com
Creation Date: 2019-02-18T10:33:14Z
Registrar: Registrar of domain names REG.RU LLC
Registrant Name: Protection of Private Person
Итого:
Все они зарегистрированы у регистратора REG.RU
У всех скрыта организация-владелец
Все они свежие. Точнее новые появляются с завидной регулярностью. (можно отследить даже хронологию).
На всех сайтах в футере как по шаблону один и тот же текст
Стоимость доступа по подписке составляет 35 рублей с НДС в сутки для абонентов ПАО «МегаФон; по разовой оплате — 150 рублей (включая НДС) за 30 дней для абонентов ПАО «МегаФон»; Продление доступа по подписке происходит автоматически. Для отказа от предоставления Подписки на услугу отправьте SMS-сообщение со словом СТОП<пробел>113 на номер 5151 для абонентов ПАО «МегаФон». Cообщение бесплатно в домашнем регионе. Служба технической поддержки ООО «Информпартнер»: 8 800 500-25-43 (звонок бесплатный), e-mail: [email protected]
И офер везде одинаковый vk-vid.com/site/offer
Ну не может быть, что сотни сайтов созданы только ради абонентов Мегафона! А если клиент Билайна захочет получить этот контент?..
Слишком много совпадений…
В последнее время если абонент жалуется в тех.поддержу из-за того, что у него списали деньги за левую подписку, то ему эти деньги возвращают.
Так вот если бы деньги перечислялись левым контент-провайдерам, то сотовый оператор не стал бы из своего кармана отдавать абоненту деньги! Мегафон боится, что если начнутся массовые жалобы в правоохранительные органы, то рано или поздно такие действия квалифицируют по 159 УК РФ. И никакого ООО «Инфопартнёра» в этой цепочке не будет! Дешевле заткнуть возмущённых в самом начале.
Установка всяких защит от подписок на Мегафоне — не помогает
Таким образом Мегафон даже не пытается скрыть, что это они обманом подписывают абонентов на дорогущий *****-контент…
Подпишут 200 000 человек на рассылку в 35 рублей. 100 000 возмутятся и они им вернут деньги на счёт. С остальных 3,5 ляма в сутки в бюджет компании…
В данном случае я изучил поведение одного оператора связи — Megafon. Но, судя по отзывам, таким промышляют все операторы РФ (кроме YotaRussia ).
Зайдя на сайт специализированного хостинга для таких сайтов мы увидим в партнёрах тех, кого мы знаем и «любим»
nslookup zvoook.com
Name: zvoook.com
Address: 78.140.175.32
Name: zvoook.com
Address: 78.140.175.19
nslookup 78.140.175.19
19.175.140.78.in-addr.arpa name = webwap.org.
Получается, что это организованное преступное сообщество, занимающееся мошенничеством в особо крупных масштабах?
Источник
Последнее редактирование: