
Czy są wśród nas ludzie tacy sta... tzn. z takim doświadczeniem życiowym jak ja :), którzy pamiętają, gdy na początku istnienia internetu zachłysnęliśmy się tym, że choć płacimy zań pieniądze, wszystko co znajdziemy, wydaje się być darmowe? Teraz czasy się zmieniły, internet zmonetyzował, ale wciąż wielu z nas szuka w sieci sposobów na... Hmm, nazwijmy to „ominięciem płatności”. A oszustom w to graj.
SMS, czyli niby małe pieniądze
Nieco ponad 28 lat temu, 3 grudnia 1992 pracujący w Vodafone Neil Papworth wysłał swoim kolegom bożonarodzeniowe życzenia SMSem. Wiele wody w – hmmm, Tamizie? – upłynęło, a SMS wciąż trzyma się mocno, choć internetowe komunikatory i coraz śmielej poczynający sobie standard RCS mocno go podgryzają. Fakt, iż SMS jeszcze żyje, wyjątkowo natomiast podoba się oszustom. Jeśli uda im się bez naszej wiedzy (albo z wiarą, że nie dzieje się nic złego) wysłać „nieco więcej” SMSów z naszego konta, rachunki mogą sięgnąć nawet czterocyfrowych. Jakim cudem? Socjotechniką, jak zawsze. Nierzadko nawet bez udziału złośliwego oprogramowania.
Spójrzmy na przykład na stronę hxxp://unlockme247.com
Kto by nie chciał za darmo dostępu do całego cyfrowego multimedialnego dobra? Tym bardziej w czasach pandemii, #stayathome i w ogóle? Przecież mamy to wszystko na odległość kliknięcia, wystarczy puknąć w „Confirm”! A wtedy...
Nie, nie zainstaluje się malware. Nie stanie się nic podejrzanego (a przynajmniej tak mamy myśleć). Jeśli otworzymy witrynę z komputera, zobaczymy biały ekran, bądź przekierowanie na coś mało/w ogóle nie podejrzanego. Celem oszustów są bowiem ci, którzy wchodzą na ich witrynę z urządzeń mobilnych. Zaimplementowanie mechanizmu rozpoznawania urządzenia źródłowego z poziomu strony nie jest żadnym problemem. A gdy spróbujemy potwierdzić z telefonu, zobaczymy coś takiego:
To SMS z rzekomym kodem weryfikacji, wysyłany... nie nie – nie tylko na numer na Tajwanie. Jest ich +/- 20, na testowanych przez nas serwisach były to głównie numery z Wlk. Brytanii (dzięki za Brexit, to lada chwila nie będą tanie rzeczy) i z Tajwanu.
"A teraz odpowiedz na kilka pytań"
Opisywanej powyżej witryny nie testowałem dokładnie, ale w przypadku innej po „wysłaniu” (używałem telefonu bez karty SIM, podłączonego tylko przez WiFi) serii SMSów na ekranie pokazały się pytania. Najpierw o system operacyjny telefonu, potem sposób połączenia (dane/WiFi). W sumie pięć pytań zamkniętych, każda odpowiedź potwierdzana SMSami na te same numery. 100 SMSów to już jest jakiś koszt dla nas, a dla oszustów zysk.
Jaki? Choć nie są to wiadomości Premium, ale nawet te zwykłe, wysyłane na numery zagraniczne, w grę mogą wchodzić podobne pieniądze. Przy Tajwanie i UK może to oznaczać koszt rzędu kilkuset złotych za serię SMSów. Oszust zarabia natomiast na podziale zysków (revenue share) z operatorem, u którego terminuje rozmowy/SMSy (stąd określenie nadużycia mianem IRSF – International Revenue Share Fraud). Zysk na jednym SMSie to średnio 5 eurocentów, ale działa efekt skali. Przy 100 tysiącach naciągniętych na 100 wiadomości każdy robi się z tego pół miliona euro. Co więcej, niektóre smartfony automatycznie przerabiają na MMSa wiadomości wysyłane pod wiele adresów. Terminowanie najkrótszego MMSa to już od 0,18€ dla oszusta, niemal czterokrotnie więcej, niż przy SMSie.
Skąd to się bierze?
Wystarczy wyszukać sieci haseł w stylu „free robux”, czy „watch Netflix for free”. Wodą na młyn oszustów jest wspólna cecha wielu internautów, o której pisałem na początku tekstu: szukanie sposobów na dostęp do treści, za które normalnie trzeba zapłacić pieniądze, czy dostęp do streamów transmisji sportowych. Swoje sieci zarzucają także na dzieci i młodzież, podsuwając „kody” na darmowe pieniądze do mobilnej gry, czy skórki do postaci. Na koniec procesu nie dostajemy oczywiście żadnego kodu dostępu, bądź jesteśmy przekierowywani na witryny z rozwiązaniami, które okazują się darmowe.
Co można z tym zrobić? Z założenia nie ufać szemranym witrynom, proponującym za darmo coś, co normalnie jest płatne. Z własnego doświadczenia wiem, że kody dostępów do serwisów VOD rozdają albo te serwisy, albo duże firmy (np. dostawcy internetu, jak Orange Polska :) ). Moi koledzy z CERT Orange Polska pracują nad tym, by ograniczyć wpływ tego typu kampanii na naszych klientów, ale w tym przypadku akurat nie będę się dzielić szczegółami – naszego bloga może przecież czytać każdy!
Nie dajcie się złapać na takie prostackie chwyty. Nie traktujcie mojego clickbaitowego tytuł przesadnie poważnie :)
Komentarze
Oj czasami można naprawdę się „naciąć”. Licho nie śpi.
OdpowiedzDużo jest oszustw czy to na paczkomaty czy nie zapłaciliśmy za gaz ,prąd itp trzeba uważać – notka bardzo dobra pisz więcej o takich rzeczach dzisiejszym w świecie jest to bardzo potrzebne – pozdrawiam Cię Michale.
Odpowiedz