Мегафон: история одного взлома
Контентные воры в любую дырку пролезут. К счастью, их подводит алчность, и после широкомасштабного «набега» на кошельки лазейку заколачивают, а украденные деньги возвращают.
Очередное подтверждение тому, что с законодательством в области мобильного контента у нас всё плохо.
Точнее, не плохо, а вообще никак. Эффективных инструментов воздействия нет, а существующими никто не хочет пользоваться.
Мороки много, результативность низкая, правоохранителям возиться неинтересно. А остальным невыгодно.
На этот раз «игольным ушком» для «контентного верблюда» оказался универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), запущенный в эксплуатацию в декабре прошлого года, т.е. менее трех месяцев назад. Одним из ключевых преимуществ сервиса является полнофункциональная работа с SMS-сообщениями: из web-портала или специального приложения можно отправлять SMS со своего номера, настраивать фильтры и т. п. Входящие SMS тоже дублируются и сохраняются, на них можно отвечать прямо из web-интерфейса и, при желании, полный архив сообщений остается у вас, что бывает полезно при смене аппарата. Наш обзор этой платформы можно почитать здесь, ключевая для сегодняшнего разбора цитата:
«Регистрация в системе происходит автоматически при первом запуске приложения и вводе номера телефона плюс пароль от Сервис-Гида. Если Сервис-Гидом раньше не пользовались, то проще всего задать пароль USSD-командой *105*01*пароль#пароль# (вместо слова «пароль» — выбранная вами для пароля комбинация цифр)».
Короче говоря, в сервисе UMS реализовали удобную для абонента и прогрессивную схему регистрации пользователя: при заходе на портал UMS регистрация происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду. Юридически это вполне допустимо, так как услуга бесплатна, плюс осознанное действие пользователя (регистрация на портале с вводом пароля) присутствует.
К примеру, во многом схожий по функционалу платный сервис SMS+ необходимо предварительно подключить через системы самообслуживания. А с UMS пользователю решили облегчить жизнь, не нужно подключать никаких услуг ни USSD-командой, ни через Сервис-Гид.
Что, бесспорно, повысило «дружелюбие» сервиса, но создало дополнительные возможности для злоумышленника.
Событие
Днём 4-го апреля получил сердитое письмо с подробным описанием материализовавшейся на номере подписки. Цитаты с разрешения автора:
«…я абонент МФ Северо-Запад. Вчера вечером приходит СМС «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru (см. скриншот выше).
Я не обратил на неё сильного внимания, т.к. иногда приходят СМС с предложением загрузить MMS, SMS и что-то еще. Зашёл на страницу по ссылке, увидел что-то от Мегафона.
Но т.к. этой услугой не пользовался — забыл.
Потом пришла вторая СМС (через полтора часа) с цифровым кодом и текстом «Никому не сообщайте персональный код». Тут я сразу же позвонил в контактный центр Мегафон (хорошо что у меня VIP тариф и ожидание оператора меньше минуты).
В процессе разговора пришла еще одна СМС с текстом о том, что на мой номер телефона оформлена подписка. Оператор сообщил мне, что «подписался» на платную подписку от сайта spinyla.net, от которой меня сразу же отписали (но 20 рублей снять успели).
Так же оставил заявку на возврат денежных средств (20 руб.) Сегодня пришла СМС что заявку удовлетворили, но деньги на счет ещё не поступили. Подождем.
Пароль в Сервис-Гиде Мегафона можно задавать только цифрами (вчерашний век, ну да ладно). Но у меня это не день рождения, а старый номер телефона, откуда я переехал около 10 лет назад.
Соответственно его найти перебором практически нереально. Вопрос откуда могли взять пароль? Три варианта на мой взгляд:
- «взломали» сайт Мегафона
- Пароль «взяли» из хранилища паролей Google Chrome / Opera (я ими пользуюсь)
- Пароль «взяли» из приложения Мой Баланс (mbalance.ru) для iPhone
Пункт 1 выглядит маловероятным. Пункт 2 тоже: вирусов на компьютере не обнаружено.
Остается пункт 3, как наиболее приближенный к реальности. Не хочется верить, но?».
Подбирать пароль к Сервис-Гиду действительно почти бесполезно. Помимо капчи на входе, там предусмотрены разнообразные ограничения на количество попыток и, наверняка, все прочие системы безопасности.
На моей памяти, процедуры входа перерабатывались и «допиливались» раза три, причем это только заметные внешне доработки.
Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру.
Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов.
Хронология
Покопался в интернете и обнаружил целую коллекцию одинаковых жалоб на подключение «левой» подписки с полным совпадением всех признаков. Начиная от поступления SMS «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru…» и заканчивая всеми остальными атрибутами, вплоть до общего «контентного партнера» (сайт www. spinyla.net).
Время событий тоже примерно совпадало: от позднего вечера 3-го до раннего утра 4-го апреля.
География — самая разная: Москва, Санкт-Петербург, Красноярск, Поволжье. В одном случае «пострадали» все четыре телефонных номера в семье, что косвенно вписывается в предположение об автоматизированном переборе: либо одновременно покупались «соседние» номера, либо, что более вероятно, на всех четырех номерах использовался один общий пароль для Сервис-Гида.
Днем четвертого апреля обобщенной информации еще не было, и абонентские службы вещали кто во что горазд. От «Вы сами подписались!», до «Убедитесь в том, что никто не знает ваш пароль в Сервис-Гид».
Надо полагать, что одинаковые жалобы запустили механизм выяснения причин и принятия мер, ближе к вечеру появилась определенность в ответах.
Утром 5-го апреля на сайте МегаФона появилось сообщение о «профилактических работах» и ограничениях в функционировании других приложений, связанных с использованием Сервис-Гида. Совпадения бывают, но больше похоже не на «профилактические», а срочно-аварийные «работы» по ликвидации уязвимости.
К вечеру 5-го апреля эпопея с контентным взломом благополучно (надеюсь) завершилась. Прореху в защите залатали, украденные со счетов деньги вернули. Те, кто списания не заметил, так ничего и не заметят.
Для тех, кто заметил и начал скандалить, теперь озвучивают официальную формулировку о технических проблемах на оборудовании и ошибочном подключении подписки. Версия, конечно, забавная: в программном обеспечении произошел некий сбой, который подключил абонентам сервис UMS, отправил SMS-сообщение или ввел номер на сайте, получил SMS c кодом, ввел его и оформил подписку.
Упаси нас боже от таких «сбоев», это уже называется «восстание машин».
Что это было?
Всех подробностей мы не узнаем, а в МегаФоне не расскажут. Читал про очень похожие случаи в начале марта, тоже подписка и тоже с подключением сервиса UMS.
Правда, пострадавший писал о SMS+, но мог ошибиться или не расслышать. Для подключения SMS+ нужно подбирать пароль на входе в Сервис-Гид, а это дело неблагодарное.
И, главное, совершенно ненужное при наличии «дружелюбной» UMS.
Судя по скриншоту детализации, процесс воровства полностью автоматизирован, программисты потрудились на славу. Обратите внимание на время: если верить цифрам, подписка была зарегистрирована через две секунды после получения SMS-сообщения с кодом.
Поднять глаза, прочитать и ввести четыре цифры вручную за две секунды вряд ли выполнимо физически. Почти наверняка перебор блоков номеров на входе в портал UMS тоже хорошо автоматизирован, за возможный доход 20 руб./сутки никто не будет корпеть над этим вручную.
Судя по интервалу времени между успешным подбором пароля и подключением подписки (в разных примерах от полутора до пяти часов), «мероприятие» проводят в два этапа: сперва заготавливается порция успешно подобранных пар телефон/пароль, затем эти пары обрабатываются подписками. Затем весь процесс повторяется для следующего блока.
Могу предположить, что денежный потенциал этой схемы оценили давно, софт заказали/написали и друзья-контентщики подворовывают на «левых» подписках уже не одну неделю. Сейчас то ли алчность взыграла, то ли программа попала в руки неумного человека.
Который, захотев слишком много денег «здесь и сейчас», неосмотрительно запустил механизм отслеживания фрода. Скромнее надо быть, скромнее.
Страшно себе представить, сколько увлекательных историй прошло через операторские отделы по борьбе с фродом. И сколько историй пока не прошло и, возможно, никогда не пройдет. Вернут (или не вернут) списанное пожаловавшимся и забудут.
Всё-таки надо решать вопрос в принципе, а не заниматься латанием прорех в защите и разработкой куцых «Запретов контента». Отключить бы всем доступ к любому платному контенту и подключать только по письменному заявлению.
Эх, мечты…
Выводы для нас
То, что нам с вами следует вынести для себя из этой истории.
Хоть и есть поговорка про снаряды, которые дважды в одно и то же место не попадают, я бы на всякий случай проверил в Сервис-Гиде подключение услуги UMS. Вдруг когда-то подключали «для попробовать», а отключать не стали или забыли?
Если услуга не подключена, то при первом успешном входе на портал UMS срабатывает ее автоматическое подключение, в Сервис-Гиде появляется запись «Изменен состав услуг» с указанием даты и точного времени.
Одновременно на телефон приходит SMS-сообщение с предупреждением об успешном входе на портал UMS с использованием данных пользователя (номер телефона и пароль). Для нас это важный «звоночек», после которого можно успеть отключить услугу и/или сменить пароль.
Последующие посещения портала происходят незаметно для пользователя. По крайней мере, у меня никаких SMS-предупреждений не было, проверял.
Не лениться использовать пароль максимальной длины и категорически отказаться от традиционных комбинаций вида 12345, даты рождения и т. п.
Обращать внимание на «загадочные» SMS-сообщения и не торопиться их стирать из памяти телефона, может пригодиться для восстановления картины произошедшего.
Пополнение счета бесплатно!! (Мегафон,МТС,Билайн)
