Zneužití účtu zákazníka O2 k nevyžádaným mobilním platbám

O síťových operátorech a jejich službách (O2, T-Mobile, Vodafone a další)

Moderátor: Moderátoři MobilMania.cz

Odeslat příspěvekod 5uch 28. 9. 2022 22:43

Téma, které se tu čas od času řeší... mobilní platby předplatného pochybným firmám prováděné z účtu mobilního operátora (velké problémy s tím má hlavně O2):

Víme, že existují různé pochybné weby (s trapnými hrami nebo nějakým pofidérním a nezajímavým "digitálním obsahem"), které vám nějakým fíglem v uživatelském rozhraní a šikovnou psychologickou manipulací vnutí předplatné na něco, co nechcete. A pak je problém to předplatné zrušit.

Teď nemluvím o těch webech, kde do políčka formuláře vyplníte číslo mobilu (třeba v domnění, že získáte nějakou pěknou výhru nebo odměnu) a pak s odesláním čísla mimochodem potvrdíte podmínky předplatného (kterých jste si nevšimli). Nemluvím ani o relativně slušně ošetřených "objednávkách", kde před aktivací služby a předplatného musíte odeslat odsouhlasovací SMS typu "ANO".

Mluvím o případech, kde k objednávce stačí kliknutí na webu za předpokladu, že jdete přes mobilní připojení (z telefonu nebo přes modem s mobilním připojením). Kliknete na reklamní banner, maskovaný třeba za obrázek nějakého videa k přehrání... a máte předplatné. V lepším případě musíte odkliknout ještě nějaké potvrzení podmínek (které může být podané pěkně manipulativně). Ale jsou hlasy, že to jde i bez potvrzení těch podmínek. :(

Zajímalo by mne to z technického hlediska, jak to funguje (nejsem oběť, ale rád bych tomu rozuměl).
Člověk s mobilním připojením (přes SIM kartu operátora) od O2 navštíví pochybný web. A je jím ztotožněn - web si dovede O2 říct o "platbu třetí straně, mobilní platbu". Žádné vyplňování mobilního čísla k tomu ztotožnění není potřeba. Kliknete a máte předplatné.

Doteď jsem žil v představě, že provozovatel navštíveného webu může zjistit moji IP adresu (a tím i pravděpodobnou geografickou polohu a poskytovatele internetu), nějaké charakteristiky prohlížeče a zařízení používaného k brouzdání, může načíst nějaké cookies. Ale že mne může identifikovat jako konkrétního zákazníka operátora a rovnou u něj objednat nějakou platbu z mého účtu? To jsem fakt netušil.

A O2 potvrzuje, že to možné je:
https://www.facebook.com/o2cz/posts/513 ... 9376132617

O2: "V případě platby přes internet se nevyplňuje číslo služby, číslo služby je rozpoznáno sítí a transakce bývá potvrzena např. kliknutím na reklamní banner či nabídku."


Dokáže někdo vysvětlit, jak webová stránka identifikuje na základě pouhého kliknutí konkrétního zákazníka O2 a říct si O2 o vyúčtování poskytnutých "služeb"?
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod jjrr 29. 9. 2022 04:55

Proč by to dělali šmejdi tak složitě, když jim stačí napsat na web něco jako: Vyhráli jste iPhone, zadejte telefonní číslo, pošleme vám SMS, v které potvrdíte souhlas s výhrou.
jjrr
osobne

Odeslat příspěvekod hauzz 29. 9. 2022 06:26

Z diskuze na FB je nejzajímavější odpověď O2 guru (Jára :-)) ) "V případě platby přes internet se nevyplňuje číslo služby, číslo služby je rozpoznáno sítí a transakce bývá potvrzena např. kliknutím na reklamní banner či nabídku". Sory jako milé zlO2dějské O2 ale to je na hromadnou žalobu na vaší společnost. Evidentně 50% marže z nemalého počtu okradených zákazníků i několik měsíců za sebou vedení O2 nesm*dí...
hauzz
Pokročilý

Odeslat příspěvekod 5uch 29. 9. 2022 08:27

Hauzz:
No právě. A zajímalo by mne, jak je něco takového technicky možné.
Je to samozřejmě podpora zlodějny ze strany O2.

jjrr:
Jo, jasně že tak to jde také - a často se tak děje. Dokonce mám podezření, že políčko pro vyplnění telefonního čísla se na zlodějském webu objeví, pokud člověk nejede přes mobilní data od O2. O tom by se dal napsat hezký článek, včetně poznatků, jak rafinovaně a šmejdsky ty podvodné weby své oběti manipulují a jak před nimi to důležité skrývají... a jaká je jejich skutečná hodnota. A jak někteří lidé jdou těm šmejdům na ruku a třeba podvodné soutěže ještě jako užiteční idioti sdílí na facebooku.
Ale jak jsem psal - o tom teď není řeč.

Zajímá mě ten případ, kdy stačí kliknout na banner a už se platí. Jak je to technicky udělané.
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod jjrr 29. 9. 2022 17:14

Nemyslím si, že ten O2guru vůbec věděl, o čem píše, něco tam na tom fcb kváknul, co si možná omylem sám domyslel, ale jeho odpověď bych nijak nepřeceňoval.
jjrr
osobne

Odeslat příspěvekod 5uch 29. 9. 2022 18:48

jjrr:
O2 guru podle mne tlumočil opatrnou formulaci, která pochází od techniků a prošla "redakční úpravou" přes nějaké vedení.
A ten jeho popis sedí - velice přesně koresponduje se zkušenostmi těch, co klikli na video (ve skutečnosti na banner) a už platili.
Tady to jeden postižený dal i se screenshotem:
https://www.facebook.com/o2cz/posts/513 ... 5839453304
A přesně stejný popis incidentu jsem slyšel víckrát... a napsaný tak, že se tomu dalo věřit (postižený nebyl tydýt).

Tady máš podobnou opatrnou formulaci znovu:
O2: k podobným objednávkám dochází při kliknutí na reklamu a potvrzení podmínek předplatného, případně při podobném postupu při procházení webu přes mobilní telefon. Často uživatelé tlačítkem potvrdí předplatné, aniž by se seznámili s podmínkami a podrobnostmi služby.

https://www.facebook.com/o2cz/posts/564 ... 6772120689

Jinak nějaké diskuse, kde se to řeší:
https://www.facebook.com/o2cz/posts/5647283071976909
https://www.facebook.com/o2cz/posts/5622689727769577
https://www.facebook.com/vodafoneCZ/pos ... 3663461812

Možná časem přidám další.
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod davsopl 29. 9. 2022 19:51

A nebylo by lepší používat nějaký vhodný Ad block (aktuálně používám AdGuard), zamezit si u O2 všechny SMS platby, auditotex, Premium SMS, M-platby a platby přes mobilního operátora apod? Používám O2 snad od začátku a žádný podobný problém jsem zatím neměl.
davsopl
Junior

Odeslat příspěvekod 5uch 29. 9. 2022 20:01

davsopl:

No super. Že zrovna vy jste doteď neměl problém neznamená, že ho nebudete mít zítra, nebo že se to nepřihodilo někomu jinému. Mě se to zatím také nestalo... a modlím se, aby to tak zůstalo.

Blokovat si všechny platby pomůže - když to jde. Dokonce to O2 pokrytecky doporučuje (ale ve výchozím stavu vám je dá povolené). Ale někdy nějaké člověk potřebuje (parkování, MHD jízdenky...). A skutečnost je taková, že platby přes SMS a na internetu, platby třetím stranám atd. mají naši operátoři ve výchozím stavu vždy povolené. Spousta lidí o těchto platebních možnostech užití jejich účtu u mobilního operátora vůbec neví. A řešit to začnou až v okamžiku, kdy se jim něco nemilého stane.

Blokovat reklamy může pomoci, ale někdy to s ním může být horší. Jednak blokátory reklam občas rozbijí stránku tak, že nefunguje. A jeden čas se mi s jedním blokátorem na našem velkém zpravodajském webu dělo to, že zablokoval většinu "normálních" reklam, ale zase jsem tam měl o to víc těch pochybných.

Ale o tom tady řeč není.

Znovu - otázka je:
Jak je to technicky udělané, že pochybný web dokáže návštěvníka užívajícího mobilní internet O2 ztotožnit s konkrétním zákazníkem O2 a říct si o platbu. Bez zadávání mobilního čísla do nějakého formuláře.
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod davsopl 29. 9. 2022 20:55

Neříkám, že je to o tomto…

@5uch…Ale někdy nějaké člověk potřebuje (parkování, MHD jízdenky...).

Pokud jsem kdykoliv poslal SMS jízdenku, DMS apod, kde to bylo blokované, tak to neprošlo. Na SMS jízdenky mám “hloupý telefon Nokii”.

@5uch Znovu - otázka je:
Jak je to technicky udělané, že pochybný web dokáže návštěvníka užívajícího mobilní internet O2 ztotožnit s konkrétním zákazníkem O2 a říct si o platbu. Bez zadávání mobilního čísla do nějakého formuláře.

Nefunguje to podobně jako nějaké platby viz O2 Knihovna?
davsopl
Junior

Odeslat příspěvekod 5uch 29. 9. 2022 21:34

No, nevím, jestli si rozumíme. Četl jste to co jsem psal (+ případně některé ty stížnosti na Facebooku?)

O2 knihovna - tam si člověk objednává jako v normálním e-shopu. Je buď přihlášený, nebo když není, musí se v rámci objednávky přihlásit jednorázově telefonním číslem. Tam je to ztotožnění jasné.

Pokud jsem kdykoliv poslal SMS jízdenku, DMS apod, kde to bylo blokované, tak to neprošlo.


Ještě aby to prošlo, když to má být blokované. Ale můj argument je, že ne každý to může kompletně zablokovat. Pokud někdo chce používat tyto (celkem užitečné a jistě férové) možnosti platby za služby, tak to blokované mít nemůže.

A pak je tu sorta lidí, co ani nevědí, že by si to mohli zablokovat (i když to nepoužívají).

Na SMS jízdenky mám “hloupý telefon Nokii”.

Budiž. Dokud SIM karta zůstane v té hloupé Nokii, je to OK. Jakmile se octne v něčem chytřejším (mobilní modem, chytrý telefon), je tu riziko že člověk zavítá někam s nebezpečným odkazem (který nemusí na první pohled nebezpečně vypadat) a klikne na něj.

A teď zpět k tématu.
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod jjrr 30. 9. 2022 04:15

Pravděpodobně to tedy jde, identifikovat zákazníka jen podle toho, že je připojen přes SIM O2. Zákazníkovi stačí dvakrát kliknout, první kliknutí objednávka, druhé kliknutí potvrzení platby. O2 pak odešle ještě informační SMS, která nebude doručena na SIM v modemu, pokud je doručena na mobil, uživatel jí vyhodnotí jako nějakou reklamu a smaže jí. Přiřazení objednávky k zákazníkovi ale pravděpodobně provádí O2, prodávajíci firma totiž evidentně nemá přístup k údajům o zákazníkovi, protože neumí přes operátora zákazníkovi peníze vrátit a vyzaduje proto při jejich vrácení číslo bankovního účtu zákazníka a jeho údaje totožnosti.
https://www.idnes.cz/mobil/mobilni-operatori/gamemine-malta-mobilni-hry-platba-treti-strane-o2.A190529_120418_mobilni-operatori_LHR
jjrr
osobne

Odeslat příspěvekod 5uch 1. 10. 2022 16:52

jjrr:
Ano, tak to může být. A dovoluji si pochybovat, že je tam vždy korektní postup "klik v objednávce + klik v potvrzení" (s kvalifikovanými informacemi pro zákazníka v obou fázích). Technicky vzato je možné tu "opičárnu" s dvojím potvrzováním vynechat - web ztotožnil zákazníka O2, nic (kromě svědomí a poctivosti) mu nebrání si říct O2 o platbu třetí straně.

Tady je příklad webu, na který byl v jiném případě směrován "výherce soutěže" - a nevědomky si pořídil "předplatné stahování digitálního obsahu":
https://join.gotoplay.cc/lpx/Ro0PZxVejG ... 193_231134

Při první návštěvě je člověk jen vyzván k vložení a odeslání svého čísla, odkaz na podmínky je velmi nenápadný.
2022-10-20 15 55 17.png


Při opakované návštěvě nebo znovunačtení stránky (F5) se již zobrazí cena, podmínky předplatného a to, že jde ve skutečnosti o objednávku nějakého blíže nespecifikovaného "digitálního obsahu" a ne dávání kontaktu pro předání výhry.
2022-10-20 15 58 34.png

Pokud smažete cookies (k jejichž ukládání mimochodem není vyžadováno potvrzení), dostanete se zase na tu "panenskou" verzi formuláře bez doplňkových informací.

Asi si každý dovede domyslet, k čemu je ta schovávačka podmínek a účelu odeslání čísla telefonu při první návštěvě pochybného webu:
Šmejd: "Měl jste tam napsané, že to je za 99 Kč na týden"
Podvedený: "Neměl!"
Šmejd: "Měl, podívejte se na... (adresa webu)!"
Podvedený: "No jo, teď to tam je, asi jsem si předtím nevšiml..."

Další věc je, že mobilní operátoři a jejich právníci údajně své partnery v mobilních platbách monitorují a sledují, zda splňují zákonné podmínky. Myslíte, že nějakého právníka napadne před pravidelnou návštěvou objednávkové stránky smazat v prohlížeči cookies?
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod xtonda 2. 10. 2022 09:54

Občas v administraci modemu Huawei B310 kde mám SIM O2 datamanie najdu SMS jako je tato.
Mrzi nas to, ale na tomhle cisle mate blokovane mobilni platby, takze za Plawing Store Billing od Playwing ted mobilem nezaplatite. Zkontrolujte, prosim, nastaveni mobilnich plateb v https://moje.o2.cz/ a https://moje.o2platba.cz. Dekujeme za pochopeni. Vase O2

Používá to celá rodina pro přístup na internet. Když to přišlo poprvé, neměl sem naštěstí kredit a pak sem hned deaktivoval platby v Moje O2, takže škodu jsem neutrpěl.

Je to, o čem je toto vlákno? Jde mi o to jaký je mechanismus těchto plateb a o co se kdo kde pokouší. Může to fakt vyvolat někdo, kdo je na tu wifi připojený aniž by znal číslo a bylo nutno opsat potvrzovací kód z SMS? Pokud ano, má někdo odkaz na stránku, která tohle dělá?

EDIT: Prošel sem si všechny odkazy zde v článku na FB i články na iDNES. A podle toho to skutečně má fungovat tak, že to může aktivovat v prohlížeči uživatel připojený přes wifi protože to potvrzení provádí opět ten uživatel v prohlížeči. Když se ale snažím dopátrat stránky, kde bych to skutečně mohl provést, tak sem nenarazil na žádnou, která by nechtěla zadat číslo.
xtonda
Junior

Odeslat příspěvekod 5uch 2. 10. 2022 10:39

Ano, vlákno je o tom, co píšete. Objedná se platba třetí straně z vašeho účtu u O2 bez vašeho vědomí.

Stránky, které chtějí zadat mobilní číslo jsou běžnější (jednodušší realizace, větší dopad).
Přesto se zdá (a O2 to potvrzuje), že to jde i bez zadání čísla - objednávka vznikne na základě pouhé návštěvy nějaké stránky - po prokliku reklamního banneru zdánlivě nabízejícího něco úplně jiného.
Vlastně to potvrzujete i vy - vy sám jste číslo nezadával a členové vaší rodiny patrně neznají číslo SIM v modemu.

Mám podezření, že ten způsob bez zadání čísla vyžaduje nějakou užší online technickou spolupráci s operátorem na identifikaci zákazníka (zatím otevřeně nepřiznanou).

Obávám se, že "chytit" stránku podvodníků nebude jednoduché... vstupuje se na ní po prokliku reklamy (kterou dynamicky servíruje nějaký affiliate program nebo reklamní systém... tudíž to není reprodukovatelné). Vstup na stránku často probíhá přes několikeré přesměrování a k aktivaci objednávky nestačí znát holé URL, většinou v tom hraje důležitou roli nějaký dlouhý "ocásek" parametrů za URL serveru.

Viz předchozí příklad - pokud vstoupíte na stránku join.gotoplay.cc bez těch dalších parametrů, nestane se nic - dostanete chybu:
"server did not find a current representation for the target resource or is not willing to disclose that one exists".
To druhé je zdůvodnění možné příčiny chyby je dost výstižné.

Spekulace:
- Je možné, že v některých případech nejsou zobrazovány nějaké potvrzovací stránky, kde by se po prokliku reklamy zákazník dozvěděl, o co jde, a kolik to stojí - a potvrdil to. Jen dojde k nějakému nesmyslnému přesměrování nebo zákazník zůstane na stránce, kde klikl na reklamu. Protože provozovatel "služby" pouhou návštěvou ne svém webu získal, co potřebuje k provedení objednávky (identifikoval přístup z mobilního internetu O2). Viz příklad v předchozím příspěvku, kdy obdobná služba při první návštěvě zastírá důvod pro odeslání údajů.

- Je možné, že potvrzovací stránka zobrazena je, ale je (záměrně) natolik matoucí a zasazena do tak manipulativního kontextu, že ji uživatel potvrdí - aniž by doopravdy věděl, co vlastně potvrzuje.

- Je možné, že reklamy na tento typ "služby" jsou zobrazovány jen lidem se specifickým připojením (v našem případě mobilní data od O2)

- Je možné, že se reklama zobrazuje i lidem s jiným připojením, a podle druhu připojení probíhá mechanismus náboru různými způsoby (mobilní data od O2 -> automatické objednání, v ostatních případech se to zeptá na číslo).
Moderátor, co pamatuje Siemens ME45
5uch
Moderátor
Uživatelský avatar

Odeslat příspěvekod xtonda 2. 10. 2022 11:07

Ono i kdyby ta informace a podmínky byly zcela jasné a zřetelné, tak mi přijde nepřijatelné aby třeba návštěva s dětma, které pustím na guest wifi, mohla cokoliv takhle objednávat aniž bych to já jako majitel té SIM potvrdil.
xtonda
Junior

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků