«Введите код подтверждения, отправленный на телефон»…
Растут сцуки
И не просто растут.
Развиваются и повышают квалификацию!
Очередная история человека с уважаемого мной Форума АкадемГородка.
Суть: прошел интересный для него тест, чтобы получить результаты, нужно ввести номер своего мобильного телефона, ввести полученный код. Гарантируется, что стоимость смс не выше хх руб.
Да, код ввёл, и в конце месяца обнаружил ох какой баАальшущий минус в балансе мобильника…
Все такое слышали / видели, верно?
В чём новинка.
Нашла и привожу статью — расследование со ссылкой на источник:
Платная подписка по одному клику – это реально!
Автор Сергей Потресов (sergey.potresov@mobile-review.com)
Время от времени пишу про «контентные шалости», но бывает это нечасто и в основном по особым случаям.
На этот раз случай вполне «особый»: талантливые контентщики наконец-то сумели обойти антифродовые ограничения и наладить систему втюхивания платных подписок практически без ведома пользователя.
История вопроса
Стараюсь не злоупотреблять вашим временем и вниманием, иначе всякие легальные, условно-легальные и нелегальные контентные «проекты» можно было бы описывать каждый день, тема неисчерпаемая.
Желающих поживиться деньгами доверчивых абонентов полно и контенто-ловушек в Интернете настроено много тысяч. Однако описывать их даже выборочно нет смысла, читатели Mobile-Review в основной своей массе люди грамотные и на такую ерунду не «ведутся». А те, кто на всяких «GSM-пеленгаторах» с «SMS-сканерами» попадаются, Mobile-Review не читают. Получается заколдованный круг, и реальная польза от таких публикаций сводится к принятию операторами некоторых мер по описанным фактам. Что тоже неплохо, но является слабым утешением для ранее «попавших» и тех, кто «попасть» только собирается.
Еще одна причина сравнительной «непопулярности» данной темы на нашем ресурсе – стандартность схем и подходов.
Типичный «контентный проект» представляет собой примитивный условно-легальный лохотрон, выкачивающий деньги из наивных пользователей по одним и тем же схемам. Интересные и нестандартные решения встречаются крайне редко.
Как правило, указывается привлекательная, но правдоподобная цена SMS-ки (чаще около 10 руб.), а где-нибудь прозрачно-мелким шрифтом или глубоко в Договоре пишется, что цена указана за один день доступа, один объект, один запрос или еще что-нибудь «один».
А оплачивается, ясное дело, сразу сотня-другая запросов, пара месяцев доступа и т.п.
Юридически чисто и не подкопаешься, а в Договоре обязательно прописано согласие пользователя с его условиями. И реальная цена «услуги» тоже прописана, не сомневайтесь.
Еще в этом Договоре вы, скорее всего, прочитаете, что заплатили за пользование «игровым сервисом». Никто никого не «пеленгует», чужие SMS-ки вам читать не дает, историей вашей фамилии не занимается и рентгеновский аппарат в ваш мобильник не встраивает. Вы платите свои 300-900 руб. за симпатичные картинки на экране, красиво жить не запретишь.
То, что вас коварно (но легально!) «кинули», вы узнаете из состояния баланса, который похудеет на несколько сот рублей.
В общем, меры противодействия этому безобразию сводятся к двум простым шагам:
— выяснить реальную цену SMS на указанный короткий номер
— и/или раскопать на сайте Договор, в котором вся схема «кидалова» расписана подробно и по пунктам.
Рецепт общий для всех подобных сайтиков, повторять описания многочисленных клонов и разновидностей ни к чему. Нужно просто «включить мозг» и не верить в чудеса.
Это было лирическое отступление для тех немногих, кто совсем «не в теме».
Новая схема
Теперь о по-настоящему революционной новинке контентного доения.
Лично для меня эта история началась с письма в почту 9 января. Каюсь, не придал письму особого значения, хотя на указанный сайт заглянул и даже просмотрел метров пять однотипных жалоб на «лохотрон».
Ответил на письмо что-то в стиле «сами виноваты» и выбросил эту историю из головы.
Дело в том, что при всем многообразии вариантов контентного «развода» в Интернете в любой схеме присутствует и обязан работать встроенный предохранитель в виде уникального ключа. Вы можете заказывать все что угодно и вводить чужой номер телефона на сайте, но деньги спишут только после подтверждения того, что услугу заказали именно вы.
Для этого система генерирует уникальный ключ, который приходит на телефон в SMS-сообщении, поставщик услуги этот «пароль» не знает. И это правильно, т.к. иначе миллионы абонентов уже были бы без своего ведома подписаны на множество ценнейших и дорогостоящих контентных услуг.
Далее этот ключ передается поставщику услуги (вводится в специальное поле на сайте) и при совпадении ключей с этого момента договор между абонентом и поставщиком услуги считается заключенным.
Т.е. покупка контентного «товара» разбита на три этапа:
— Регистрация номера телефона заказчика на сайте провайдера
— Генерирование уникального ключа и его SMS-доставка на телефон заказчика
— Ввод этого уникального ключа на сайте провайдера
Схема призвана защитить абонента от мошеннических действий ретивого «провайдера» и одновременно позволяет оператору отгородиться от возможных претензий: «Получил код? Получил! Ввел его на сайте? Ввел! Теперь пеняй на себя, надо было читать Договор-оферту». Образец стандартного ответа оператора на претензию по таким поводам:
«Услуги «Подписки на доступ к Эротическому порталу» по этому номеру предоставляет ЗАО «Контент-провайдер Первый Альтернативный». Для того чтоб подписаться на указанные услуги, по нашим данным, необходимо зарегистрироваться на web-сайте www.intimsex.ru. После введения в специальной форме на сайте своего номера, абоненту приходит бесплатное SMS-сообщение с сервисного номера 770781, содержащие код доступа. Введение вышеуказанного кода на web-сайте www.intimsex.ru, и ознакомление с правилами предоставления услуги, а также подтверждение согласия абонента на получение УСЛУГИ — необходимые действия для начала предоставления сервиса».
Ну что, можно выдохнуть и расслабиться? Враг не пройдет, никакого контента нам без нашего ведома не втюхают и ни на каких кисок за абонентку 640 руб./месяц не подпишут.
Однако не спешим радоваться, мы с вами присутствуем при рождении и раскрутке гениальной схемы, позволяющей «объехать на кривой козе» этот «дурацкий» кодовый барьер, мешающий осчастливить платными подписками неразумное население.
А охотно практикуемая оператором «подписка» — инструмент замечательный, сами знаете. Пока человек сообразит, что происходит и откуда такая напасть, пару-тройку раз рублей по 160 с него снимут, а в ответ на претензию ткнут носом в д… Нет, не в то, о чем вы подумали, а в договор.
Первый «звоночек» — встраивание уникального кода в ссылку.
Насколько я понимаю, доступа к сгенерированному ключу у контентщика нет, но есть возможность задавать сопроводительный текст приходящего SMS-сообщения с ключом.
Соответственно, никто не мешает задать встраивание этого «икс» в подготовленную ссылку, нажав на которую пользователь вводит ключ в систему.
Казалось бы, такую «автоматизацию» ввода ключа можно только приветствовать, пользователю больше не нужно вводить вручную никаких паролей. Ввел номер своего телефона на сайте и вместо пароля, который еще нужно куда-то вбивать, получил готовую ссылку со встроенным уникальным кодом.
Нажатие на ссылку вводит код в систему и подтверждает согласие пользователя с условиями Договора.
Но где бы почитать Договор и понять, на что ты согласился?
Есть Договор на сайте, есть!
Заботливо припрятанный под ничем не примечательным словом «Условия» в приветственном тексте. Краски ребятам не хватило, закончилась краска на слове «здесь», и второе слово со ссылкой на Договор выделить было уже нечем. Но если тщательно прощупать джойстиком все слова на странице, то рано или поздно дойдем до нужного, и «сезам откроется».
Почитав Договор, мы с удовлетворением узнаем о том, что «Процедура регистрации на портале бесплатная» (пункт 2.2).
Далее в пункте 2.5 – «После регистрации Пользователю один раз в неделю будет предоставляться услуга «рассылка» в виде смс сообщений, содержащих ссылку на новые поступления видеоматериалов на портале».
Перевожу на русский язык для непонятливых: бесплатна сама процедура регистрации, все по-честному. А вот факт (не процедура!) регистрации означает, что мы согласились получать ссылки на «видеоматериалы» за скромную абонентскую плату в размере 695 руб. 24 коп. в месяц.
Специально для ленивых закатал полный текст Договора в pdf-файл, взять можно здесь.
Кстати, скачивая этот файл, вы тем самым подтверждаете, что вам более 18 лет и употребленная для этого компьютерная мышка принадлежит вам.
Есть в Договоре одна тонкость, за которую можно и нужно зацепиться, если сдуру или по незнанию вляпались в эту самую «бесплатную процедуру регистрации».
Дело в том, что без указания цены услуги такой Договор является ничего не значащей бумажкой, которую можно распечатать и вручить уважаемому контент-провайдеру с целью посещения известного места общего пользования. А цена услуги в Договоре обозначена многозначительным словом «до».
Так что имеете полное право в качестве платы за услугу пропеть ему ноту «до». В крайнем случае «до диез», с учетом того, что нота «до» — это без НДС.
Но это были еще цветочки, теперь переходим к вкусным ягодкам.
На замечательном сайте Mobipage предусмотрена не менее замечательная услуга «Открытка», в ней-то и заключена главная революционность подхода.
«Открытку» могут отправлять зарегистрированные пользователи, за это с них спишут по 20 руб. за каждую. А могут и незарегистрированные.
Просто выбираете открытку, вбиваете номер телефона получателя и жмете «Отправить». Владельцу номера приходит SMS-сообщение с текстом «Вас поздравляет друг!» и ссылкой.
В ссылке – сгенерированный системой регистрационный код для номера телефона получателя «открытки». Это именно регистрационный код, можете сами проверить, зайдя на сайт и пройдя обычную процедуру регистрации.
Присланный в «честной» регистрационной ссылке код совпадает с отправляемым в качестве «поздравления друга».
Итого в сухом остатке: вы получаете SMS-сообщение со ссылкой на «поздравление друга», нажав на ссылку, проходите автоматизированную процедуру регистрации на сайте и…
С Новым Годом и с новым счастьем на сумму 695 руб. 24 коп. в месяц, вы попали.
Особо мнительные граждане не ленятся перенести ссылку в компьютер и на всякий случай посмотреть на «поздравление» оттуда.
Считая, что тем самым полностью страхуются от возможных неприятностей.
Да-да-да, конечно, обезопасились (смайлик).
Номер телефона был уже зарегистрирован в системе (ввод номера при отправке «поздравления»), уникальный регистрационный код был как положено отправлен на телефон (пришедшая ссылка), а переход по ссылке является необходимым подтверждением регистрации. И системе абсолютно все равно, с какого устройства это подтверждение пришло, лишь бы правильный код был доставлен в целости и сохранности.
Думаете, что написанное выше является попыткой очернить честное имя контент-провайдера и найти какие-то малозначимые огрехи в прогрессивной системе?
Уже «попавшие на деньги» думают иначе, и я склонен с ними согласиться.
Это не «огрехи», это сама система, и она отлично работает.
Вернулся на «стену плача» (см. скриншот письма в начале текста), почитал и в некоторых постах увидел те же симптомы.
«Попавшийся» коллега по форуму поделился снимками экрана, все то же самое.
Правда, текст «открытки» отличается, но это уже детали. Еще один пострадавший по моей просьбе ответил на вопросы и описал процесс аккуратно и без эмоций, привожу выдержки из письма:
«На замечательном сайте я не регистрировался. 22 декабря мне пришла СМС от абонента Mobipage с текстом «Ваш друг прислал открытку по адресу http://mobipage.ru/a/t5xwXbH.”
Открывать ссылку с телефона я конечно же не стал, решил на всякий случай проверить с домашнего ПК. При вводе ссылки мне открылась пустая страница, я благополучно на это дело забил и забыл.
30 декабря начали поступать СМС с номера 770507 с текстом «Недостаточно средств для пользования услугой». Это все я выяснил позже, потому что это не основная моя симка, а что-то наподобие резерва, поэтому на ней редко бывает более 100 рублей. Перед новым годом денег я на нее закинул побольше.
5 января данная сим-карта мне понадобилась, но на ней не оказалось денег, а во входящих висела СМС уже от абонента KILOWAP с текстом «Подписка отключена. Ждем вас снова! http://mobipage.ru/a/t5xwXbH”, ну и на балансе минус 99 рублей».
Как уберечься?
Скриншот выше – рецепты избавления от этого подписного счастья, эти рецепты взяты из Договора и они работают.
Служба поддержки по указанному бесплатному телефону прекрасно осведомлена обо всех особенностях предоставляемой «услуги» и мгновенно отключает подписку по первому требованию, им лишние скандалы и «реклама» нового прогрессивного сервиса ни к чему.
Относительно возможной помощи оператора. Есть подозрение, что обращаться в салон-магазин особого смысла нет, там вас просто не поймут.
Вы будете уверять, что никаких SMS на короткие номера не отправляли, ни на каких сайтах не регистрировались и понятия не имеете, откуда на вас это свалилось.
А сотрудник оператора будет вам профессионально сочувствовать и повторять про код подтверждения, который вы получили на свой телефон и собственными шаловливыми ручонками ввели на сайте, не озаботившись прочтением Договора с контент-провайдером. И будет по-своему прав.
Если повезет, то в рамках процедуры «сохранения абонента» начислит вам на счет какое-то количество денег и мягко посоветует впредь не шастать по сомнительным порно-сайтам.
Еще, если верить Договору, коварная подписка отключится сама, если в течение месяца на лицевом счете абонента не найдется денег, которые можно утянуть в провайдерские закрома, цитата:
«В случае невозможности незамедлительного списания денежных средств (в силу отсутствия достаточного количества денежных средств на счете, нахождения мобильного телефона вне зоны обслуживания оператора связи либо по иным причинам), производится не более 2-х попыток списания в течение текущего дня, еще две в течение текущей недели, еще две в течение текущего месяца.. Если в течение этих попыток списание денежных средств не осуществлено, Абонент считается отказавшимся от дальнейшего предоставления услуги «рассылка»».
Вообще говоря, стараниями дружного тандема оператор-контентщик слово «подписка» уже стало хорошо узнаваемым и почти матерным.
Народ от него шарахается, как черт от ладана, и приходится принимать меры. Отказаться от схемы подписок нельзя — потеряешь немаленький доход. Но можно отовсюду убрать само слово «подписка», именно так и поступают.
Например, если еще месяца три назад в рекламе более-менее честно предупреждали о подписке на видеоролики за абонплату в 100 руб./месяц, то сейчас слово «подписка» из рекламы этого сервиса исчезло.
Оборотная сторона медали
Понятно, что у любой палки есть два конца, и попытка «подзаработать» не совсем праведным путем неизбежно провоцирует ответные действия.
Почти невозможно техническими средствами надежно организовать игру в одни ворота.
К примеру, открыли вот в МТС возможность отправлять SMS на платные контентные номера при любом положительном балансе и позволили загонять контентом лицевые счета в любой минус.
Вроде бы одна сплошная прибыль от импульсивных покупок и опрометчивых действий тех пользователей, которые по своей наивности верят в невозможность потратить больше, чем есть на счете.
Однако тут же нашлись желающие этой особенностью воспользоваться в своих интересах, кто бы сомневался.
«Дырку» с превращением копеечных стартовых балансов «левых» SIM-карт в многие сотни полновесных WebMoney прикрыли, но сколько еще осталось неизвестных нам хитроумных комбинаций и возможностей?
Максимальна открытость, использование всех возможностей современных платформ и отказ от хитроумных «подписок» облегчили бы жизнь службам безопасности, но сократили бы доходы операторов.
А имидж, как известно, «ничто», в то время как жажда денег — то самое «всё».
Резюме
Сложно писать, неприятная история. Еще недавно можно было с некоторым ехидством подшучивать над «порно-страдальцами», стесняющимися идти в офис оператора признаваться в собственной слабости и глупости. Благодаря которым порно-провайдеру удавалось вцепиться бедолаге в глотку своей пожизненной платной подпиской на «эротический контент». Жертву было жалко, но человек был во многом сам виноват.
Теперь, с появлением новой схемы, жертвой может стать любой из нас.
Согласитесь, трудно винить человека в том, что он захотел ознакомиться с присланной ему «поздравительной открыткой».
******************
Изучаем.
Благодарим автора статьи-расследования.
Запомним смысл и отправим ссылку на этот блог друзьям.
Будем бдительны!