Переезд «Билайна» на новую ИТ-систему «подарил» мобильным мошеникам свежую уязвимость

21.09.2015, ПН, 10:11, Мск,

Текст: Игорь Королев

Из-за переезда на новую ИТ-систему в контент-платформе «Билайна» появилась уязвимость, которая позволяет активировать пользователю платную подписку при просмотре сайтов с мобильных устройств без его согласия. Уязвимостью воспользовались злоумышленники, создавшие сайт-подделку для просмотра порно-роликов с YouTube.

Новая схема мобильных мошенников

CNews обнаружил уязвимость в контент-сервисах сотового оператора «Вымпелком» (торговая марка «Билайн»), благодаря которой создатели недобросовестных веб-сайтов могут подключить абонентам оператора платные подписки без их согласия.

Речь идет о технологии MSISDN («Wap-клик»): которая позволяет подключить в один клик подписку, определив номер мобильного телефона, с которого пользователь зашел на сайт.

В обычном режиме оператор перед активацией такой подписки выводит специальную страницу – landing page: на ней оператор выводит информацию о цене подписки и кнопку, при нажатии которой подписка активируется. Однако уязвимость в системе «Вымпелкома» привела к тому, что мобильные мошенники научились обходить это требование.

Став жертвой уязвимости можно, просто заходя с мобильного телефона на различные сайты, обещающие «бесплатный просмотр порно». Такие сайты содержат ссылки на различные видеоролики соответствующей тематики. Большинство из этих роликов ведут на известные порноресурсы, например, Pornohub и Redtube.

В ряде случае сайт, обнаруживая, что его посетитель зашел с мобильного устройства, переводит его на ресурсы с платными подписками, перед активацией которых должна демонстрироваться landing page. Правда, оператор разрешает владельцам сайтов разрешено создавать кастомизированные варианты таких страниц, при показе которых пользователь может не заметить, что он подключается на платную услугу.

http://filearchive.cnews.ru/img/cnews/2015/09/21/porno500.jpg
Кастомизированная страница платного порносервиса

Несуществующий порно-YouTube

Но в некоторых же случаях происходит настоящее мошенничество. Как обнаружил корреспондент CNews, пользователь после череды переадресаций по непонятным ресурсам, видит картинку с сайта youtube-mobile.com.

На первый взгляд можно подумать, что это мобильная версия известного видео-хостинга YouTube, однако этот ресурс к YouTube не имеет отношения: при попытке зайти на него со стационарного компьютера (или с мобильного телефона через Wi-Fi-сеть), страница переадресует пользователя на «Яндекс» - прямого конкурента Google (владелец YouTube).

Картинка, которую видит пользователь на youtube-mobile.com, имитирует привычную картинку с видеороликом с YouTube: в частности, в центре страницы находится кнопка “play”. При нажатии на нее пользователь переходит на ролик с настоящего сервиса YouTube (либо у него открывается соответствующее мобильное приложение).

Одновременно у пользователя активируется платная подписка. Так, у корреспондента CNews активировалась подписка стоимостью 20 руб. в день с короткого номера «8371», которым управляет контент-провайдер «Адвиатор Медиа». Узнать о факте подключения такой подписки удалось только благодаря соответствующему SMS-сообщению. Если пользователь не осуществит действия по отключению подписки, то денежные средства будут с него сниматься каждый день.

Примечательно, что порноролика, который анонсировался на первоначальном ресурсе, пользователь не увидит. Вместо этого ему будет продемонстрирован какой-нибудь нейтральный ролик с YouTube, например, из репертуара Comedy Club.

Технология iFrame

Как рассказывает CNews источник на рынке мобильного контента, эта мошшеническая технология называется IFrame. Страница домена youtube-mobile.com, маскирующая под ролик YouTube, в реальности никакого ролика не содержит. На ней странице открывается landing page от «Вымпелкома», однако пользователь ее не видит, так как она закрыта псевдоизображением ролика. Кнопка же «play» является кнопкой активации подписки: то есть оператор полагает, что его абонент согласился на подключение подписки.

«Билайн» уже принял меры В «Вымпелкоме» признали, что проблема действительно есть: она связана с тем, что сейчас модуль для работы с короткими номерами всех контент-провайдеров порциями переводится на новую ИТ-платформу. «На этой платформе мы обнаружили уязвимость с IFrame, - говорит представитель «Вымпелкома» Анна Айбашева. - Как устранять уязвимость, мы уже разобрались, настройки будут закончены 23 сентября».

Пока новые настройки еще не заработали, «Вымпелком» последовательно настраивает на коротких номерах с данной технологией дополнительное подтверждение - SMS link: пользователю высылается SMS-сообщение со ссылкой, на которую нужно пройти для активации подписки. «На части номеров эта защита уже встала, на остальных активируются в ближайшие несколько дней», - говорят в компании.

http://www.cnews.ru/news/top/2015-09-21 … mu_podaril