МегаФон: история одного взлома

МегаФон: история одного взлома

Контентные воры в любую дырку пролезут. К счастью, их подводит алчность, и после широкомасштабного «набега» на кошельки лазейку заколачивают, а украденные деньги возвращают. Очередное подтверждение тому, что с законодательством в области мобильного контента у нас всё плохо.

Точнее, не плохо, а вообще никак. Эффективных инструментов воздействия нет, а существующими никто не хочет пользоваться. Мороки много, результативность низкая, правоохранителям возиться неинтересно. А остальным невыгодно.

На этот раз «игольным ушком» для «контентного верблюда» оказался универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), запущенный в эксплуатацию в декабре прошлого года, т.е. менее трех месяцев назад. Одним из ключевых преимуществ сервиса является полнофункциональная работа с SMS-сообщениями: из web-портала или специального приложения можно отправлять SMS со своего номера, настраивать фильтры и т. п. Входящие SMS тоже дублируются и сохраняются, на них можно отвечать прямо из web-интерфейса и, при желании, полный архив сообщений остается у вас, что бывает полезно при смене аппарата. Наш обзор этой платформы можно почитать здесь, ключевая для сегодняшнего разбора цитата:

«Регистрация в системе происходит автоматически при первом запуске приложения и вводе номера телефона плюс пароль от Сервис-Гида. Если Сервис-Гидом раньше не пользовались, то проще всего задать пароль USSD-командой *105*01*пароль#пароль# (вместо слова «пароль» — выбранная вами для пароля комбинация цифр)».

Короче говоря, в сервисе UMS реализовали удобную для абонента и прогрессивную схему регистрации пользователя: при заходе на портал UMS регистрация происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду. Юридически это вполне допустимо, так как услуга бесплатна, плюс осознанное действие пользователя (регистрация на портале с вводом пароля) присутствует. К примеру, во многом схожий по функционалу платный сервис SMS+ необходимо предварительно подключить через системы самообслуживания. А с UMS пользователю решили облегчить жизнь, не нужно подключать никаких услуг ни USSD-командой, ни через Сервис-Гид. Что, бесспорно, повысило «дружелюбие» сервиса, но создало дополнительные возможности для злоумышленника.

Событие

Днём 4-го апреля получил сердитое письмо с подробным описанием материализовавшейся на номере подписки. Цитаты с разрешения автора:

«. я абонент МФ Северо-Запад. Вчера вечером приходит СМС «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru (см. скриншот выше). Я не обратил на неё сильного внимания, т.к. иногда приходят СМС с предложением загрузить MMS, SMS и что-то еще. Зашёл на страницу по ссылке, увидел что-то от Мегафона. Но т.к. этой услугой не пользовался — забыл.

Потом пришла вторая СМС (через полтора часа) с цифровым кодом и текстом «Никому не сообщайте персональный код». Тут я сразу же позвонил в контактный центр Мегафон (хорошо что у меня VIP тариф и ожидание оператора меньше минуты). В процессе разговора пришла еще одна СМС с текстом о том, что на мой номер телефона оформлена подписка. Оператор сообщил мне, что «подписался» на платную подписку от сайта spinyla.net, от которой меня сразу же отписали (но 20 рублей снять успели). Так же оставил заявку на возврат денежных средств (20 руб.) Сегодня пришла СМС что заявку удовлетворили, но деньги на счет ещё не поступили. Подождем.

Пароль в Сервис-Гиде Мегафона можно задавать только цифрами (вчерашний век, ну да ладно). Но у меня это не день рождения, а старый номер телефона, откуда я переехал около 10 лет назад. Соответственно его найти перебором практически нереально. Вопрос откуда могли взять пароль? Три варианта на мой взгляд:

1. «взломали» сайт Мегафона
2. Пароль «взяли» из хранилища паролей Google Chrome / Opera (я ими пользуюсь)
3. Пароль «взяли» из приложения Мой Баланс (mbalance.ru) для iPhone

Пункт 1 выглядит маловероятным. Пункт 2 тоже: вирусов на компьютере не обнаружено. Остается пункт 3, как наиболее приближенный к реальности. Не хочется верить, но?».

Подбирать пароль к Сервис-Гиду действительно почти бесполезно. Помимо капчи на входе, там предусмотрены разнообразные ограничения на количество попыток и, наверняка, все прочие системы безопасности. На моей памяти, процедуры входа перерабатывались и «допиливались» раза три, причем это только заметные внешне доработки.

Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру. Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов.

Хронология

Покопался в интернете и обнаружил целую коллекцию одинаковых жалоб на подключение «левой» подписки с полным совпадением всех признаков. Начиная от поступления SMS «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru. » и заканчивая всеми остальными атрибутами, вплоть до общего «контентного партнера» (сайт www. spinyla.net). Время событий тоже примерно совпадало: от позднего вечера 3-го до раннего утра 4-го апреля.

География — самая разная: Москва, Санкт-Петербург, Красноярск, Поволжье. В одном случае «пострадали» все четыре телефонных номера в семье, что косвенно вписывается в предположение об автоматизированном переборе: либо одновременно покупались «соседние» номера, либо, что более вероятно, на всех четырех номерах использовался один общий пароль для Сервис-Гида.

Днем четвертого апреля обобщенной информации еще не было, и абонентские службы вещали кто во что горазд. От «Вы сами подписались!», до «Убедитесь в том, что никто не знает ваш пароль в Сервис-Гид». Надо полагать, что одинаковые жалобы запустили механизм выяснения причин и принятия мер, ближе к вечеру появилась определенность в ответах.

Утром 5-го апреля на сайте МегаФона появилось сообщение о «профилактических работах» и ограничениях в функционировании других приложений, связанных с использованием Сервис-Гида. Совпадения бывают, но больше похоже не на «профилактические», а срочно-аварийные «работы» по ликвидации уязвимости.

К вечеру 5-го апреля эпопея с контентным взломом благополучно (надеюсь) завершилась. Прореху в защите залатали, украденные со счетов деньги вернули. Те, кто списания не заметил, так ничего и не заметят. Для тех, кто заметил и начал скандалить, теперь озвучивают официальную формулировку о технических проблемах на оборудовании и ошибочном подключении подписки. Версия, конечно, забавная: в программном обеспечении произошел некий сбой, который подключил абонентам сервис UMS, отправил SMS-сообщение или ввел номер на сайте, получил SMS c кодом, ввел его и оформил подписку. Упаси нас боже от таких «сбоев», это уже называется «восстание машин».

Что это было?

Всех подробностей мы не узнаем, а в МегаФоне не расскажут. Читал про очень похожие случаи в начале марта, тоже подписка и тоже с подключением сервиса UMS. Правда, пострадавший писал о SMS+, но мог ошибиться или не расслышать. Для подключения SMS+ нужно подбирать пароль на входе в Сервис-Гид, а это дело неблагодарное. И, главное, совершенно ненужное при наличии «дружелюбной» UMS.

Судя по скриншоту детализации, процесс воровства полностью автоматизирован, программисты потрудились на славу. Обратите внимание на время: если верить цифрам, подписка была зарегистрирована через две секунды после получения SMS-сообщения с кодом. Поднять глаза, прочитать и ввести четыре цифры вручную за две секунды вряд ли выполнимо физически. Почти наверняка перебор блоков номеров на входе в портал UMS тоже хорошо автоматизирован, за возможный доход 20 руб./сутки никто не будет корпеть над этим вручную.

Судя по интервалу времени между успешным подбором пароля и подключением подписки (в разных примерах от полутора до пяти часов), «мероприятие» проводят в два этапа: сперва заготавливается порция успешно подобранных пар телефон/пароль, затем эти пары обрабатываются подписками. Затем весь процесс повторяется для следующего блока.

Могу предположить, что денежный потенциал этой схемы оценили давно, софт заказали/написали и друзья-контентщики подворовывают на «левых» подписках уже не одну неделю. Сейчас то ли алчность взыграла, то ли программа попала в руки неумного человека. Который, захотев слишком много денег «здесь и сейчас», неосмотрительно запустил механизм отслеживания фрода. Скромнее надо быть, скромнее.

Страшно себе представить, сколько увлекательных историй прошло через операторские отделы по борьбе с фродом. И сколько историй пока не прошло и, возможно, никогда не пройдет. Вернут (или не вернут) списанное пожаловавшимся и забудут. Всё-таки надо решать вопрос в принципе, а не заниматься латанием прорех в защите и разработкой куцых «Запретов контента». Отключить бы всем доступ к любому платному контенту и подключать только по письменному заявлению. Эх, мечты.

Выводы для нас

То, что нам с вами следует вынести для себя из этой истории.

Хоть и есть поговорка про снаряды, которые дважды в одно и то же место не попадают, я бы на всякий случай проверил в Сервис-Гиде подключение услуги UMS. Вдруг когда-то подключали «для попробовать», а отключать не стали или забыли?

Если услуга не подключена, то при первом успешном входе на портал UMS срабатывает ее автоматическое подключение, в Сервис-Гиде появляется запись «Изменен состав услуг» с указанием даты и точного времени.

Одновременно на телефон приходит SMS-сообщение с предупреждением об успешном входе на портал UMS с использованием данных пользователя (номер телефона и пароль). Для нас это важный «звоночек», после которого можно успеть отключить услугу и/или сменить пароль. Последующие посещения портала происходят незаметно для пользователя. По крайней мере, у меня никаких SMS-предупреждений не было, проверял.

Не лениться использовать пароль максимальной длины и категорически отказаться от традиционных комбинаций вида 12345, даты рождения и т. п.

Обращать внимание на «загадочные» SMS-сообщения и не торопиться их стирать из памяти телефона, может пригодиться для восстановления картины произошедшего.

Сервис гид от Мегафон в Поволжье

В первую очередь мы бы хотели рассмотреть информацию о том, что такое «Сервис Гид». Это своеобразная система, которую можно назвать старой версией личного кабинета. Она не столь продвинута, её дизайн также не блещет простотой и лаконичностью, и поэтому уделять много внимания ей мы не будем. Но уделять внимание мы ей не будем не потому что у пользователей не возникает вопросов с пользованием данной системой, а потому что функционировать ей осталось меньше месяца. По состоянию на 5 апреля 2016 года, Сервис Гид будет полностью закрыт, а абоненты Мегафон смогут пользоваться системой ЛК непосредственно по ссылке lk.megafon.ru.

Что же касается входа в старый личный кабинет Сервис Гид в Поволжье, то здесь Мегафон сделал его доступным по ссылке lk.megafon.ru. Для получения доступа к системе, абонентам необходимо ввести следующие данные в соответствующие поля:

• Логин;
• Пароль доступа;
• Защитный код с картинки (капча).

После ввода всех данных жмется кнопка «Войти» и абонент получает доступ к системе.

Для чего нужен Личный кабинет Megafon?

Сразу развенчаем миф, что сервис самообслуживания неудобен для использования. Новый ЛК прост и интуитивно понятен по сравнению со старым Личным кабинетом Мегафона. Вся самая важная информация, как то: абонентский номер, состояние баланса, остатки по подключенным пакетам размещена сразу на главной странице.

Навигация в сервисе самообслуживания упрощена донельзя. Пройдемся по разделам и посмотрим какие функции доступны абонентам.

Раздел «Счет»

Отображает информацию о вашем лицевом счете и всех услугах, так или иначе связанных с платежами и денежными переводами:

1. «Пополнить счет» — пополняйте баланс сим-карты быстро и без комиссии. Можно воспользоваться картой оплаты или перевести деньги с банковской карты.
2. «Обещанный платеж» — заказ доверительного платежа. Показывает какая максимальная сумма доступна и стоимость услуги. Удобно, что сумму «доверилки» выбирает сам абонент. Например, можно взять 50 или 100 рублей вместо 300 возможных.
3. «Расходы, пополнения, детализация» — показывает ваши расходы на связь в текущем месяце, историю пополнений, а также информацию о списаниях со счета по дополнительным услугам (если подключены). Здесь же можно заказать детализацию счета или настроить отправку ежемесячного отчета по расходам на электронную почту.
4. «Переводы и платежи» — позволяет быстро перекинуть деньги с телефона на телефон или вывести на банковскую карту. Внимательно читайте условия! Может взиматься комиссия!
5. «Управление автоплатежами» — удобная функция для тех, кто постоянно забывает вовремя пополнять баланс телефона. Услуга бесплатная. Просто привяжите банковскую карту к ЛК и подключите автоплатеж.

Помимо перечисленных возможностей разделе «Счет» предоставлена информация о персональных предложениях, скидках и акциях оператора. Здесь же можно заказать цифровую карту для интернет-платежей.

Раздел «Услуги»

Показывает остатки трафика, минут и SMS в подключенных пакетах. Здесь же можно узнать условия и стоимость вашего тарифа, посмотреть какие услуги подключены и отказаться от них, либо подключить другие.

Самые востребованные услуги оператора вынесены отдельно, их не нужно искать в огромном списке всех доступных опций. Это услуги «Замени гудок», «Мегафон ТВ», переадресация вызовов и опции для выгодного роуминга.

Перейдя на вкладку «Тариф», можно не только узнать свой тарифный план, но и перейти на другой.

Раздел «Поддержка»

Онлайн-чат со службой поддержки — самая полезная функция Интернет-помощника. Специалисты клиентской службы консультируют абонентов круглосуточно, и ответа редко приходится ждать дольше 10 минут.

В разделе «Настройки» можно:

• проверить и отредактировать свои личные данные;
• включить автоматический вход в систему самообслуживания, без запроса пароля;
• настроить автоплатеж;
• привязать банковскую карту;
• подключить к Личному кабинету другой номер Мегафона (если на вас оформлено несколько сим-карт);
• настроить переадресацию вызовов.

Или примите участие в голосовании и поставьте оценку своему оператору в рейтинге.

Сервис-Гид Мегафон: вход в систему на старой версии

Определившись с возможностями системы, стоит уделить немного внимания получению доступа. Удобнее всего использование сервиса через компьютер или ноутбук, поскольку тут предоставлена полная, подробная информация о каждой существующей опции и предусмотрен быстрые переход с одного тарифа на другой (хотя альтернативные варианты гида не сильно уступают в удобстве). Чтобы получить доступ в личный кабинет, понадобится:

1. зайти на страничку авторизации lk.megafon.ru;
2. ввести в поле логина номер мобильного;
3. получить пароль, отправив специальную USSD-команду *105*00# ;
4. вписать пароль в указанную на сайте строку;
5. войти на персональную страничку.

В ситуациях, когда использование USSD-запроса невозможно, можно отправить смс-сообщение 00 на сервисный номер 000105 или позвонить в контактный центр и попросить помощи оператора поддержки.

Желающим войти на старой версии следует воспользоваться теми же методами.

Авторизоваться в данном сервисе можно несколькими способами. Стоит детально рассмотреть каждый из них.

Как войти через мобильные платформы

Получить доступ к услуге могут владельцы смартфонов под управлением операционных систем IOS и Android:

Загрузите приложение с официального сайта — staging.corp.megafon.com/help/soft .

Как войти в сервис гид через ПК

Вход в систему управления номером через ПК осуществляется на официальном сайте — lk.megafon.ru/login . Перейдя по ссылке следует:

1. В поле «Логин» указать свой номер телефона.
2. Затем нажать на кнопку «Получить пароль».
3. Спустя некоторое количество времени на номер поступит СМС, где будет указан код для доступа в систему.
4. Вводим все авторизационные данные и входим в «Сервис-Гид».

Личный кабинет на ПК.

Доступ через голосовой сервис

Голосовой информатор предоставляет возможность управлять своим счетом, а также услугами, совершив звонок на специальный номер +7 922 111–05–05 . Чтобы получить нужную информацию необходимо следовать подсказкам голосового робота. Если абонент в роуминге, звонок будет тарифицироваться по фиксированному тарифу.

Доступ через СМС

Управлять номером через SMS-сообщения невозможно. С помощью них можно получить специальный пароль для доступа в систему. Как это делается описано выше.

Доступ через USSD-запрос

Пользователь может использовать Сервис-Гид без соединения с интернетом. Алгоритм входа в систему таков:

1. Вводим команду *105# и нажимаем кнопку вызова.
2. На дисплее смартфона отобразится меню, позволяющее управлять тарифным планом. Каждый раздел будет пронумерован, и чтобы его открыть придется в специальное окно вписывать номер, нажимать кнопку « Отослать ».

Мобильное приложение «Мегафон» личный кабинет

Как уже упоминалось, мобильное приложение «Мегафон» личный кабинет способно заметно облегчить использование онлайн-сервиса самообслуживания. Интерфейс программы специально адаптирован под небольшие экраны смартфонов и выполнение действий касаниями пальцев. При этом функционал софта позволяет управлять услугами связи наравне с программой для компьютеров. Процесс регистрации в приложении аналогичен вышеописанным процедурам авторизации на сайте.

Если авторизация в программе осуществляется через мобильный интернет Мегафон, который раздается регистрируемой SIM-картой, процедура значительно упрощается и может выполняться в автоматическом режиме.

МегаФон предоставляет большое количество различных услуг. С полным списком услуг МегаФона Поволжье можно ознакомиться на официальном сайте. Но стоит выделить некоторые из них.

1. Мой счет

Данная услуга содержит комплекс функций, с помощью которых вы можете:

• отображать баланс на экране телефона;
• попросить знакомого человека оплатить ваш звонок к нему;
• попросить друга перезвонить на ваш телефон;
• пополнить свой баланс при помощи друзей;
• следить за балансом близких;
• пользоваться услугами МегаФона, даже если у вас на счету не осталось денег.

1. Платежи и переводы

С помощью этой услуги вы можете:

• совершать покупки приложений и т.д. через Интернет;
• настроить автоматическое пополнение вашего счета;
• осуществлять переводы с телефона на банковскую карту.

1. Связь и общение

В этот сектор услуг входят:

• черный список − позволяет блокировать звонки от ненужных вам людей;
• антиАОН − делает ваши звонки полностью анонимными для пользователей других номеров;
• видеоконференции – позволяет создавать групповые конференции онлайн с количеством до 50 абонентов;
• голосовое сообщение – ваше сообщение другому абоненту озвучивается при получении этим абонентом.

И это только начало списка большого количества услуг, предоставляемых компанией МегаФон, о которых пользователи оставляют только положительные отзывы.

Если вы уже загорелись желанием подключить одну из услуг МегаФон Поволжье, как дозвониться оператору следует знать. Если вы являетесь клиентом МегаФона, наберите номер 0500. В ином случае наберите номер 8800550 05 00.

14 комментариев

Здравствуйте! На каком основании меня перевели с мегафон-Всё включено S на другой тариф. И почему это произошло без моего согласия? Я не принимала никакого решения, мой тариф был предложен мне операторами Мегафон. Прошу объяснить и вернуть мне прежний тариф. 21.03.2018.

Почему отключена команда по восстановлению пароля к кабинету?
Почему Мегафон без разрешения абонента платно проводит громкие читки произведений в замен конкретно поставленного вопроса?

Нахожусь на Дальнем Востоке с симкой мегафон-поволжье…связь мегафон здесь не везде берет, поэтому симкой пользовался мало… в этот момент ее и заблокировали… в местных салонах мегафон ничего сделать не могут… как мне ее разблокировать.

Что за беспредел творится. То подключают услуги без моего согласия, то вот вчера 03.09 перевела на счет 300 руб, а сегодня утром пришла СМС что осталось 7 руб. В личный кабинет не могу войти, блокирует и новый востановленный пароль… Предыдущий раз ездила в офис Мегафон, где наподключали услуг и сняли за месяц 1700 руб, но так и ничего не добилась, все правильно говорят. И скандалы в офисе постоянные и толку нет. У меня в среднем уходит 200-250 руб в месяц, а здесь идет какой то грабеж. Неужели надо в суд подавать, чтобы прекратить воровство?

полный беспредел. операторы когда им звонят и спрашивают за, что списали деньги даже не могут объяснить элементарные вещи, я лучше знаю какие у них есть тарифы, чем они сами. один оператор говорит одно, второй другое, и когда и нечего ответить, они ссылаются на детализацию. я вам устрою детализацию

Не возможно зайти в личный кабинет, сервис не доступен. С какой стати. И так постоянно.
Исправляйте вовремя технические неполадки. Почему абоненты должны страдать?

В июле 2018 года купила SIM-карту мегафон. Из-за плохой, если не сказать «никакой» связи в августе в Нижегородском сервис центре (Гагарина, 105А) рассчиталась и закрыла договор. После этого консультант предложила сохранить номер, что обошлось мне в 200 руб. Потом получила СМС, что номер сохранить невозможно (без объяснения причин и без возврата денег за не оказанную услугу). И вот недавно пришло письмо счастья, что я еще должна 200 рублей. На простой вопрос, как могла образоваться задолженность на закрытом договоре ушло 4 дня переписки ни о чем. В ответ получила все от сожалений ,что так получилось до технических трудностей с базой данных кроме ответа на мой вопрос. Биллинг я так же не могу получить, так как номер закрыт и личный кабинет недоступен В силу каких правил я заплатила 399 рублей за НЕ ОКАЗАННУЮ услугу?

Мегафон — жулье. Подключают услуги без согласия абонента. Мне позвонили я ответил ,что не каких услуг подключать не нужно. Все равно деньги списывают в день по сотне -воры. Такое уже было 2 года назад приходил в салон пошумел перестали тырить. Сейчас снова с декабря нагло тырят. У меня мегафон, и еще 4 номера мегофоновских всемье. Мой номер с открытия филиала. Принял решение , да пошли они лесом, наглые сквалыги. УЙДЙ! Пусть вдругой компании даже и дороже будет и номер не сохраню. Больше всего раздражает наглость и их жадность смотрят людям в глаза и воруют. Адью Ворофон.

Мегафон — жулье. Подключают услуги и переключают тарифы как хочется. Бесполезно кому-либо что-0то доказывать, по горячей линии не дозвонишься, ничего выяснить невозможно.