Контентные воры в любую дырку пролезут. К счастью, их подводит алчность, и после широкомасштабного «набега» на кошельки лазейку заколачивают, а украденные деньги возвращают. Очередное подтверждение тому, что с законодательством в области мобильного контента у нас всё плохо.

Точнее, не плохо, а вообще никак. Эффективных инструментов воздействия нет, а существующими никто не хочет пользоваться. Мороки много, результативность низкая, правоохранителям возиться неинтересно. А остальным невыгодно.

На этот раз «игольным ушком» для «контентного верблюда» оказался универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), запущенный в эксплуатацию в декабре прошлого года, т.е. менее трех месяцев назад. Одним из ключевых преимуществ сервиса является полнофункциональная работа с SMS-сообщениями: из web-портала или специального приложения можно отправлять SMS со своего номера, настраивать фильтры и т. п. Входящие SMS тоже дублируются и сохраняются, на них можно отвечать прямо из web-интерфейса и, при желании, полный архив сообщений остается у вас, что бывает полезно при смене аппарата. Наш обзор этой платформы можно почитать , ключевая для сегодняшнего разбора цитата:

«Регистрация в системе происходит автоматически при первом запуске приложения и вводе номера телефона плюс пароль от Сервис-Гида. Если Сервис-Гидом раньше не пользовались, то проще всего задать пароль USSD-командой *105*01*пароль#пароль# (вместо слова «пароль» - выбранная вами для пароля комбинация цифр)».

Короче говоря, в сервисе UMS реализовали удобную для абонента и прогрессивную схему регистрации пользователя: при заходе на портал UMS регистрация происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду. Юридически это вполне допустимо, так как услуга бесплатна, плюс осознанное действие пользователя (регистрация на портале с вводом пароля) присутствует. К примеру, во многом схожий по функционалу платный сервис SMS+ необходимо предварительно подключить через системы самообслуживания. А с UMS пользователю решили облегчить жизнь, не нужно подключать никаких услуг ни USSD-командой, ни через Сервис-Гид. Что, бесспорно, повысило «дружелюбие» сервиса, но создало дополнительные возможности для злоумышленника.

Событие

Днём 4-го апреля получил сердитое письмо с подробным описанием материализовавшейся на номере подписки. Цитаты с разрешения автора:

«...я абонент МФ Северо-Запад. Вчера вечером приходит СМС «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru (см. скриншот выше). Я не обратил на неё сильного внимания, т.к. иногда приходят СМС с предложением загрузить MMS, SMS и что-то еще. Зашёл на страницу по ссылке, увидел что-то от Мегафона. Но т.к. этой услугой не пользовался - забыл.

Потом пришла вторая СМС (через полтора часа) с цифровым кодом и текстом «Никому не сообщайте персональный код». Тут я сразу же позвонил в контактный центр Мегафон (хорошо что у меня VIP тариф и ожидание оператора меньше минуты). В процессе разговора пришла еще одна СМС с текстом о том, что на мой номер телефона оформлена подписка. Оператор сообщил мне, что «подписался» на платную подписку от сайта spinyla.net, от которой меня сразу же отписали (но 20 рублей снять успели). Так же оставил заявку на возврат денежных средств (20 руб.) Сегодня пришла СМС что заявку удовлетворили, но деньги на счет ещё не поступили. Подождем.

Пароль в Сервис-Гиде Мегафона можно задавать только цифрами (вчерашний век, ну да ладно). Но у меня это не день рождения, а старый номер телефона, откуда я переехал около 10 лет назад. Соответственно его найти перебором практически нереально. Вопрос откуда могли взять пароль? Три варианта на мой взгляд:

1. «взломали» сайт Мегафона
2. Пароль «взяли» из хранилища паролей Google Chrome / Opera (я ими пользуюсь)
3. Пароль «взяли» из приложения Мой Баланс (mbalance.ru) для iPhone

Пункт 1 выглядит маловероятным. Пункт 2 тоже: вирусов на компьютере не обнаружено. Остается пункт 3, как наиболее приближенный к реальности. Не хочется верить, но?».

Подбирать пароль к Сервис-Гиду действительно почти бесполезно. Помимо капчи на входе, там предусмотрены разнообразные ограничения на количество попыток и, наверняка, все прочие системы безопасности. На моей памяти, процедуры входа перерабатывались и «допиливались» раза три, причем это только заметные внешне доработки.

Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру. Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов.

Хронология

Покопался в интернете и обнаружил целую коллекцию одинаковых жалоб на подключение «левой» подписки с полным совпадением всех признаков. Начиная от поступления SMS «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru...» и заканчивая всеми остальными атрибутами, вплоть до общего «контентного партнера» (сайт www. spinyla.net). Время событий тоже примерно совпадало: от позднего вечера 3-го до раннего утра 4-го апреля.

География - самая разная: Москва, Санкт-Петербург, Красноярск, Поволжье. В одном случае «пострадали» все четыре телефонных номера в семье, что косвенно вписывается в предположение об автоматизированном переборе: либо одновременно покупались «соседние» номера, либо, что более вероятно, на всех четырех номерах использовался один общий пароль для Сервис-Гида.

Днем четвертого апреля обобщенной информации еще не было, и абонентские службы вещали кто во что горазд. От «Вы сами подписались!», до «Убедитесь в том, что никто не знает ваш пароль в Сервис-Гид». Надо полагать, что одинаковые жалобы запустили механизм выяснения причин и принятия мер, ближе к вечеру появилась определенность в ответах.

Утром 5-го апреля на сайте МегаФона появилось сообщение о «профилактических работах» и ограничениях в функционировании других приложений, связанных с использованием Сервис-Гида. Совпадения бывают, но больше похоже не на «профилактические», а срочно-аварийные «работы» по ликвидации уязвимости.

К вечеру 5-го апреля эпопея с контентным взломом благополучно (надеюсь) завершилась. Прореху в защите залатали, украденные со счетов деньги вернули. Те, кто списания не заметил, так ничего и не заметят. Для тех, кто заметил и начал скандалить, теперь озвучивают официальную формулировку о технических проблемах на оборудовании и ошибочном подключении подписки. Версия, конечно, забавная: в программном обеспечении произошел некий сбой, который подключил абонентам сервис UMS, отправил SMS-сообщение или ввел номер на сайте, получил SMS c кодом, ввел его и оформил подписку. Упаси нас боже от таких «сбоев», это уже называется «восстание машин».

Что это было?

Всех подробностей мы не узнаем, а в МегаФоне не расскажут. Читал про очень похожие случаи в начале марта, тоже подписка и тоже с подключением сервиса UMS. Правда, пострадавший писал о SMS+, но мог ошибиться или не расслышать. Для подключения SMS+ нужно подбирать пароль на входе в Сервис-Гид, а это дело неблагодарное. И, главное, совершенно ненужное при наличии «дружелюбной» UMS.

Судя по скриншоту детализации, процесс воровства полностью автоматизирован, программисты потрудились на славу. Обратите внимание на время: если верить цифрам, подписка была зарегистрирована через две секунды после получения SMS-сообщения с кодом. Поднять глаза, прочитать и ввести четыре цифры вручную за две секунды вряд ли выполнимо физически. Почти наверняка перебор блоков номеров на входе в портал UMS тоже хорошо автоматизирован, за возможный доход 20 руб./сутки никто не будет корпеть над этим вручную.

Судя по интервалу времени между успешным подбором пароля и подключением подписки (в разных примерах от полутора до пяти часов), «мероприятие» проводят в два этапа: сперва заготавливается порция успешно подобранных пар телефон/пароль, затем эти пары обрабатываются подписками. Затем весь процесс повторяется для следующего блока.

Могу предположить, что денежный потенциал этой схемы оценили давно, софт заказали/написали и друзья-контентщики подворовывают на «левых» подписках уже не одну неделю. Сейчас то ли алчность взыграла, то ли программа попала в руки неумного человека. Который, захотев слишком много денег «здесь и сейчас», неосмотрительно запустил механизм отслеживания фрода. Скромнее надо быть, скромнее.

Страшно себе представить, сколько увлекательных историй прошло через операторские отделы по борьбе с фродом. И сколько историй пока не прошло и, возможно, никогда не пройдет. Вернут (или не вернут) списанное пожаловавшимся и забудут. Всё-таки надо решать вопрос в принципе, а не заниматься латанием прорех в защите и разработкой куцых «Запретов контента». Отключить бы всем доступ к любому платному контенту и подключать только по письменному заявлению. Эх, мечты...

Выводы для нас

То, что нам с вами следует вынести для себя из этой истории.

Хоть и есть поговорка про снаряды, которые дважды в одно и то же место не попадают, я бы на всякий случай проверил в Сервис-Гиде подключение услуги UMS. Вдруг когда-то подключали «для попробовать», а отключать не стали или забыли?

Если услуга не подключена, то при первом успешном входе на портал UMS срабатывает ее автоматическое подключение, в Сервис-Гиде появляется запись «Изменен состав услуг» с указанием даты и точного времени.

Одновременно на телефон приходит SMS-сообщение с предупреждением об успешном входе на портал UMS с использованием данных пользователя (номер телефона и пароль). Для нас это важный «звоночек», после которого можно успеть отключить услугу и/или сменить пароль. Последующие посещения портала происходят незаметно для пользователя. По крайней мере, у меня никаких SMS-предупреждений не было, проверял.

Не лениться использовать пароль максимальной длины и категорически отказаться от традиционных комбинаций вида 12345, даты рождения и т. п.

Обращать внимание на «загадочные» SMS-сообщения и не торопиться их стирать из памяти телефона, может пригодиться для восстановления картины произошедшего.

Ссылки по теме

Сергей Потресов ()

Современный человек не ограничивается пользованием какой-нибудь одной социальной сети. Чаще всего для общения с друзьями мы выбираем такие сети, как Вконтакте и Одноклассники. Для публикации и просмотра новостей – Facebook и Инстаграмм. Кто-то определяет для себя наиболее удобные сервисы для общения с коллегами, подчиненными, родственниками и членами семьи. Как правило, регистрация во многих сетях требует запоминания паролей и частого скачивания и обновления приложений.

Оператор Мегафон сделал настоящий подарок для своих клиентов – сервис Ums, позволяющий объединить в одном месте все соц. сети, смс и ммс сообщения.

Что такое UMS и как им пользоваться?

UMS представляет собой универсальный сервис, который значительно упростит вашу работу с различными мобильными приложениями. Он является «умным» и удобным в пользовании. Ums МегаФон личный кабинет – это место, где вы сможете выбирать определенные настройки и управлять ими. Сервис предоставит вам возможность получать сообщения и уведомления из всех социальных сетей, общаться с друзьями и иметь неограниченный доступ к интернету, при этом не вводя ежеминутно новые пароли и не авторизуясь в разных кабинетах. Чтобы еще больше упростить пользование этой системой, Мегафон предлагает один пароль для входа в Ums и личный кабинет.

Возможности Ums:

• При помощи Ums вы сможете получать почту, тут же ее просматривать без ввода дополнительных паролей и отправлять личные файлы по электронной почте.
• Сервис позволит вам просматривать новостные ленты всех соц.сетей, в которых вы зарегистрированы. Вам не нужно будет долго загружать несколько мобильных приложений, чтобы пролистать ленту Вконтакте, Одноклассников, Фейсбука и Инстаграмм.
• Удобный интерфейс позволит вам одновременно принимать сообщения из разных социальных сетей и отвечать на них.
• Как и в любом другом приложении, в Ums пользователь может определить адресантов, чьи сообщения автоматически будут удаляться или создать свой черный список.
• Сервис умеет хранить в памяти смс и ммс сообщения, кроме тех, которые присылают банковские оператора. Эта функция установлена в целях обеспечения безопасности данных.
• Уведомление о поступлении нового письма на почту или в социальную сеть пользователь получает при помощи смс сообщения.
• Отдельным «бонусом» можно считать специальную функцию отсрочки отправки сообщения, а так же переадресации любого входящего месседжа на другой номер.

Ums Мегафон вход

Так как в ums МегаФон вход осуществляется при помощи пароля от личного кабинета, вам не придется долго вспоминать данные для авторизации.

Стоимость услуги

Казалось бы, пользование такой удобной и универсальной системой потребует дополнительных затрат, но нет. Все клиенты мобильного оператора Мегафон смогут пользоваться Ums абсолютно бесплатно. Сообщения, отправляемые остальным клиентам Мегафона, у которых подключена система Ums, так же будут бесплатными. Месседжи для абонентов других операторов будут оплачиваться согласно действующему тарифному плану.

Как настроить в Ums Мегафон личный акаунт

Android, iPhone или WindowsPhone – это платформы, чей интерфейс используется для работы с данным сервисом. Чтобы начать работу, следует скачать определенное приложение и там зарегистрироваться в личном кабинете Ums Мегафон (приложение следует выбирать в зависимости от типа устройства, которым пользуется абонент).

Ums МегаФон – это своеобразное ноу-хау от мобильного оператора, благодаря которому пользоваться социальными сетями и управлять данными стало еще проще.

Надоело, что экран и память мобильного устройства захламлены большим количеством приложений? Компания «Мегафон» нашла выход из этой ситуации. Она предлагает своим абонентам использовать специальный сервис. UMS от Мегафон позволяет объединить все социальные сети и электронные ящики в одном ресурсе. Кроме того, здесь же клиент сотового оператора сможет воспользоваться отправкой СМС и ММС-сообщений, а также меняться файлами (видео, аудио, фото) с другими абонентами, использующими такую услугу.

Особенности сервиса

UMS – это универсальный комплект услуг, позволяющий общаться посредством социальных сетей, меняться сообщениями, оправлять ММС, вести работу в электронной почте, а также просматривать ленту. Это значит, что клиентам сотового оператора не понадобится тратить память планшета, или мобильного устройства на большое количество приложений и захламлять ими экран.

Если есть такая необходимость, пользователи могут зайти в сервис UMS с помощью веб-интерфейса через «Личный кабинет», используя один пароль. Это сделано для удобства абонентов «Мегафон», ведь в таком случае не придется вспоминать пароли от разных аккаунтов (соцсетей, электронной почты и т.д.). Сервис имеет понятную структуру, а пользоваться им сможет даже школьник. С помощью UMS клиент сотовой компании сможет:

1. Принимать и отправлять сообщения в социальных сетях.
2. Хранить ММС и СМС-сообщения.
3. Просматривать ленты в большинстве соцсетей (за счет того, что клиентам доступно подключение к таким сервисам).
4. Получать или отправлять электронную почту.
5. Отфильтровывать сообщения (заносить ненужных отправителей в черный список).
6. Получать уведомления о том, что пришло входящее сообщение через канал смс.
7. Импортировать и сохранять контакты из телефонной книжки в памяти мобильного устройства.

Кроме того, с помощью UMS абонентам «Мегафон» можно ставить автоответчики на ММС и СМС — каналы.

Преимущества услуги

Вести работу с ММС и СМС-сообщениями через UMS Мегафон очень комфортно. Абоненту «Мегафон» доступна услуга хранения истории сообщений. А если пользователь сервиса больше не нуждается в такой услуге, можно ее отключить. Что касается работы банковских сервисов, то история смс-сообщений от них не будет сохраняться в целях конфиденциальности клиента. Это правило действует и на сервисные сообщения, которые присылает «Мегафон».

Кроме того, абоненты могут воспользоваться функцией переадресации и отложенной отправки ММС и СМС-сообщений на номера других абонентов. К отсылаемым сообщениям можно ставить подпись (добавляется автоматически). Также, сервис может отправлять сообщения другим клиентам сотовой сети внутри системы. При этом число сообщений, которые можно отправить, ограничено (не больше 70 за день). Если абонент, которому отсылается СМС или ММС не использует сервис UMS, то стоимость отправления будет рассчитываться автоматически (зависит от тарифного плана отправителя).

Что касается отправления сообщений в социальных сетях и электронных писем, то на их количество в сутки не налагается никаких ограничений. Чтобы начать работать с UMS, понадобится приложение на любой мобильной платформе (WindowsPhone, iPhone, Android) или можно зайти на сайт оператора.

Стоимость и методы подключения

Чтобы попасть в «Личный кабинет» UMS, необходимо ввести тот же пароль, который используется для аналогичного входа на официальном интернет-ресурсе мобильной компании. Это сделано для удобства пользователей, которые постоянно забывают данные. Кроме того, можно войти в UMS через мобильное приложение на гаджете.

За пользование сервисом не придется ничего платить. Что касается отправки смс-сообщения через UMS, то оно будет посылаться по фиксированной стоимости тарифного плана клиента сотового оператора. Для подключения услуги необходимо зайти на официальный интернет-ресурс «Мегафон» и ввести пароль. Затем на экране появится пункт, где будет необходимо принять условия мобильного оператора.

Дальше клиенту сотовой компании придет смс-сообщение с кодом подтверждения, которое понадобится ввести в высветившееся окошко. После этого абонент сможет пользоваться сервисом UMS, заходя через «Личный кабинет». За подключение плата с абонента не взимается. Клиент «Мегафон» может воспользоваться и другими сервисами для подключения услуги:

1. Набрав комбинацию цифр и символов *598*1# на своем мобильном устройстве.
2. Отправить слово «ВКЛ» или «ON» смс-командой на номер 5598. Плата за такое действие не будет производиться.

Начать использование сервиса UMS можно сразу же после того, как осуществится регистрация.

В последние 4 дня в Сети начала появляться волна жалоб абонентов компании «Мегафон». Основная масса связана с несанкционированными подписками на платные SMS-сервисы. Это стало возможным из-за наличия уязвимости в новом сервисе UMS.
Ситуацию усугубляет слабость законодательства в РФ и отсутствие результативности раскрытия таких преступлений правоохранителями. Самим же операторам, судя по всему решать проблему угона средств со счетов абонентов с использованием SMS-подписок попросту не выгодно.

Возвращаясь к «Мегафону», брешь в безопасности найдена и эксплуатируется в сервисе для работы с социальными сетями и сообщениями UMS. Этот сервис был запущен оператором в декабре 2012 года. Одним из преимуществ называется полноценная работа с SMS сообщениями, предоставляется функционал по чтению и отправке сообщений. Абоненты подключаются к нему автоматически, для этого нужно ввести номер телефона и пароль от сервиса Сервис-Гида.

Внешне все выглядит удобно для абонентов, но это только внешне. Если в сервисе Сервис-Гиде есть хоть какое-то подобие защиты с вводом «защитного кода», то в случае с UMS есть возможность проведения перебора паролей. С учетом того, что на большинстве номеров используется только цифровая комбинация, подбор пароля лишь вопрос временем, а с учетом, что длина может быть 4 символа, нахождение пароля проходить очень быстро. Получив пароль для входа, злоумышленники получают доступ не только к SMS сообщениям абонента, но и к системе Сервис.Гид. В данные момент эта брешь безопасности используется для осуществления массовых платных СМС-подписок. По сообщениям, появляющимся в сети, оператор со своей стороны заявляет о необходимости письменного обращения для возврата средств. Но, при этом если в случае использования в качестве основной SIM-карты худо бедно потерю средств можно заметить, то в случае нахождении SIM-карты в модемах о проблеме можно будет узнать только при возникновении весомого долга на счету.

Еще один из подводных камней, который может проявиться в скором времени может быть связан с SMS функционалом. Одной из самых серьезной опасностей может стать доступ к Интернет-банкингу, и осуществлением манипуляций уже с банковским счетом.

Рекомендую провести проверку настроек своего лицевого счета и отключить доступ к услуге UMS в том виде, котором она сейчас введена кроется большое число подводных камней, сделать это можно в сервисе Сервис.Гид.

Комментарии и отзывы

Эндрю Хан, один из основателей EVGA , является поклонником дорогого аудио-оборудования и даже имеет частн...

Samsung полностью прекращает производство Blu-ray плееров в США. Рынок находится в состоянии упадка, объе...

В последнее время производители из Китая стали все чаще и чаще выпускать свои устройства с прицелом на по...

UMS(Unified Messaging Solution) – это портал и приложение для смартфона, в которых объединены все социальные сети и встроен внутренний мессенджер. Это универсальная система для коммуникации: с одной платформы можно:

С помощью этой системы общения можно другим абонентам внутри данной системы, используя либо функционал сайта, либо скачав официальное приложение Megafon UMS.

Вход в личный кабинет UMS Мегафон

Вход в личный кабинет UMS Мегафон осуществляется на официальном сайте системы https://messages.megafon.ru/user/toUserPage.do .

Здесь нужно ввести свой номер телефона и пароль от личного кабинета на сайте оператора (пароли на обоих сервисах совпадают, что весьма удобно). Также авторизацию можно пройти, скачав приложение на смартфон или планшет.

Приложение UMS легко найти и установить в одном из официальных магазинов: App Store, Play Market(https://play.google.com/store/apps/details?id=ru.megafon.mlk) или Microsoft Store, либо скачать по ссылкам на сайте оператора:

• https://messages.megafon.ru/user/service-1 (для iPhone);
• https://messages.megafon.ru/user/service-2 (для Android);
• https://messages.megafon.ru/user/service-3 (для Windows Phone).

Функционал на сайте и в приложении идентичен – нужно подключить аккаунты ваших социальных сетей, после чего можно будет пользоваться ими в одном месте. Если скачать приложение, не нужно будет больше запоминать кучу паролей и логинов: достаточно одной авторизации, и связь со всеми друзьями и знакомыми всегда под рукой.

Также здесь можно отправлять СМС и ММС. В сутки лимит ограничен – всего 70 штук. Еще присутствует возможность отправлять сообщения тем пользователям, у которых установлена аналогичная программа – таких сообщений можно отправить еще 70 раз за день.

Дополнительные функции системы общения:

• просмотр новостей из социальных сетей;
• для того, чтобы не получать нежелательные сообщения;
• , который поможет уведомить ваших собеседников о том, что в данный момент вы заняты;
• получение отправленных по электронной почте писем;
• возможность писать сообщения и устанавливать отложенную их отправку;
• пересылка посланий.

Стоимость сервиса UMS Мегафон

Для удобства абонентов оператор сделал стоимость UMS равной 0: платы за подключения и абонентской платы нет. Единственные траты – оплата СМС согласно вашему тарифу. Также не стоит забывать про , его вы оплачиваете самостоятельно, но чаще всего сейчас трафик предоставляется в рамках тарифа, поэтому беспокоиться о данном вопросе бессмысленно.

Как подключить UMS?

Рассмотрим, как подключить UMS. Пройдите регистрацию на официальном сайте или скачайте приложение на смартфон . Также вы можете подключиться через:

• USSD-команду – *598*1# вызов;
• СМС на номер 5598 (бесплатно) с текстом ВКЛ (или ON).

Отключить

Отключить UMS также можно без лишних хлопот. Для этого следует:

• отправить смс на номер 5598 с текстом ВЫКЛ (OFF);
• набрать на телефоне *598*2# вызов.

Но следует помнить, что при отключении все настройки будут удалены. Поскольку опция действует бесплатно, можно не торопиться с полным отказом от нее.

Узнав подробнее, что это за приложение, вы оцените его удобство, и в дальнейшем будете вновь его использовать.

Инструкция по отправке сообщений

Использовать приложение весьма удобно, но не стоит забывать о некоторых нюансах:

1. Лимит на отправку UMS-сообщений. Количество сообщений внутри приложения и СМС или ММС другим абонентам в день не должны превышать 70.
2. Приложение может сохранять все ваши послания. Если вы не хотите хранить переписку, отключите эту опцию в настройках.

Помня обо всех тонкостях использования этой системы общения, можно применять приложение и не тревожиться о скачивании кучи других для пользования социальными сетями.