info:niebezpiecznik.plSMS-y Premium RateZaloguj lub Zarejestruj się aby zobaczyć!, aby nie płacić za usługi wykupione w momencie nieuwagi lub przez nieświadomego członka rodziny. Istnieje jednak możliwość zdjęcia takich blokad w sposób niezauważalny i ktoś może to wykorzystać np. do kupowania bitcoinów na Wasz rachunek.
Zaloguj lub Zarejestruj się aby zobaczyć!
Nabijanie rachunków mimo blokad
Czytelnik — nazwijmy go Kacper — zgłosił się do nas z problemem. Zaraz po zakupie internetu w Plusie zablokował wszystkie usługi premium. Kilka miesięcy później, ku jego zaskoczeniu, zablokowano mu dostęp do internetu i wystawiono fakturę na 600 zł. Kacper dowiedział się na infolinii, że blokady Premium SMS zostały wyłączone i ktoś wykorzystał jego konto do zakupu usług opłacanych SMS-ami.
Kacper jeszcze raz nałożył blokady na usługi Premium i niestety znów dostał rachunek. Tym razem na 200 zł. Ponownie wyglądało to tak, jakby ktoś wysłał do Plusa SMS znoszący blokady Premium Rate. Kacper napisał reklamację, którą odrzucono. Blokady nałożył więc jeszcze raz, ale mimo to przyszedł kolejny rachunek, tym razem na 500 zł.
Kacper w e-mailu do nas napisał:
Dodam, że logując na modem nie widzę żadnych SMS wysłanych, statystyki są wyczyszczone. Logując się na stronę plusa widzę że były wysłane dwa SMS pod nr 2601, później sms pod nr 48*******5 i później 92555. Jak to jest możliwe że PLUS nie jest w stanie zablokować tego typu usług?
Zwróciliśmy się w tej sprawie do Plusa licząc na to, że uda się dowiedzieć więcej. Rzecznik Plusa Arkadiusz Majewski zapowiedział przeanalizowanie sprawy “wraz z służbami odpowiedzialnymi za bezpieczeństwo teleinformatyczne Plusa”.
Albo człowiek albo malware
Specjaliści z Plusa słusznie doszli do wniosku, że są tylko dwie możliwości:
- SMS-y wysyłała osoba mająca dostęp do komputera klienta albo…
- na komputerze klienta było oprogramowanie umożliwiające pełną zdalną kontrolę nad tym komputerem. W takiej sytuacji SMSy mógł wysłać włamywacz.
Plus nie miał wątpliwości, że SMS-y Premium naprawdę zostały wysłane, a prawidłowo założone blokady były zdejmowane. Operator obiecał nam, że skontaktuje się z Kacprem i pomoże mu w rozwiązaniu problemu. I faktycznie, Kacper otrzymał od Plusa taką wiadomość.
Szanowny Panie,
w związku z zapytaniem otrzymanym od redakcji Niebezpiecznik.pl, dotyczącym blokad możliwości wykonywania usług o podwyższonej opłacie (Premium) z karty SIM z przypisanym numerem abonenckim ********* uprzejmie wyjaśniam, co następuje.
Poruszona sprawa była przedmiotem analizy przeprowadzonej w Departamencie Bezpieczeństwa Teleinformatycznego Polkomtel. Z karty SIM jw. były wysyłane SMS-y, które służyły do wypłaty bitcoinów poprzez bankomaty albo BlueCash za pośrednictwem dwóch kantorów:
Zaloguj lub Zarejestruj się aby zobaczyć!
oraz:
Zaloguj lub Zarejestruj się aby zobaczyć!
Wysłana została np. wiadomość: „BB.BTC.5094”
W rezultacie użytkownik otrzymywał wiadomość: „Zlecenie zostalo pozytywnie przyjete.. MID=3*********3. Zapraszamy do skorzystania z KantoruZaloguj lub Zarejestruj się aby zobaczyć!”
lub
„CODE.BTCSMSPL 6804”
W rezultacie użytkownik otrzymał wiadomość: „Twoj kod to 9*****BD. Dziekujemy za skorzystanie z naszych usług.”
Nie ma żadnych wątpliwości, że wiadomości zostały wysłane, blokady założone i zdjęte za pomocą kodów SMS-owych.
Powyższe oznacza, że w Pana gospodarstwie domowym do komputera mają dostęp osoby trzecie, albo też Pana komputer wyposażony jest w oprogramowanie służące do zdalnej kontroli (może to być źle skonfigurowane oprogramowanie legalne jak TeamViewer lub oprogramowanie klasy malware lub rootkit, które umożliwia włamywaczowi zdalną kontrolę nad komputerem).
W tej sytuacji wskazane jest zarówno przeprowadzenie wnikliwego profesjonalnego audytu bezpieczeństwa użytkowanego przez Pana komputera, a także podjęcie działań mających na celu określenie czy i kto w Pana bezpośrednim otoczeniu dysponuje dostępem do urządzenia.
Odpowiedź Plusa jest rzetelna i “treściwa”. Ujawnia mechanizm oszustwa i wskazuje, jak mogło do niego dojść. Winny jest brak odpowiednich zabezpieczeń sieci lub urządzenia użytkownika.
Kacper wspomniał, że sprzęt z którego korzystał był “korporacyjny”, toteż dokonano przeglądu sprzętu. Czytelnik zauważył jednak, że problem nie występował w momencie, gdy na tym samym sprzęcie korzystano z karty SIM od innego operatora. Czy to oznacza, że Plus jest bardziej podatny na “złośliwe znoszenie blokad”? Niekoniecznie. Atakujący mógł być chwilowo nieaktywny, albo stosowane przez niego metody były zorientowane tylko na Plusa.
Nie tylko w Plusie można komuś zdjąć blokadę Premium SMS
Plus nie jest jedynym operatorem, który umożliwia zdjęcie blokad SMS-em. Podobnie można zrobić w T-Mobile, ale w Orange i Play już nie (ci operatorzy wymagają wizyty w salonie, skorzystania z infolinii lub internetowego dostępu do konta). Oczywiście ktoś złośliwy mógłby znaleźć sposób by np. włamać się na konto w serwisie operatora, ale “złośliwe” wysłanie SMS-ów wydaje się w pewnych warunkach prostsze.
Przypadek Kacpra uznaliśmy za godny opisania m.in. dlatego, że może on być pewną wskazówką odnośnie tego, jak powinny działać mechanizmy kontrolowania wydatków na usługi SMS Premium. Poza tym jesteśmy bardzo ciekawi, czy po pewnym czasie nie zgłoszą się do nas osoby z podobnym problemem. Kacper dowiedział się o sprawie więcej dzięki naszym pytaniom do Plusa, ale inne osoby mogą poprzestawać na bezskutecznym składaniu reklamacji. Zastanawiamy się jak częste są przypadki kupowania kryptowalut za SMS-y wysłane na cudzy rachunek.
Wygląda na to, że
- ktoś od strony “internetu” wyszukuje pewne urządzenia (konkretne modemy/routery GSM) i za pomocą albo domyślnych haseł, albo błędów w oprogramowaniu przejmować nad nimi kontrolę, a następnie wysyłać z ich poziomu SMS-y na koszt właściciela.
- ktoś infekuje komputery Polaków i z poziomu złośliwych aplikacji uzyskuje dostęp do panelu zarządzania podpiętym do komputera modem GSM
Problem jest także w T-Mobile
Pod koniec tegorocznych wakacji inni Czytelnicy donosili nam o problemie w T-Mobile, który miał polegać na instalowaniu w routerach kart SIM z włączonymi usługami SMS-Premium. Dostaliśmy w tej sprawie tylko kilka anonimowych wiadomości. Niektórzy nadawcy twierdzili, że należności za usługi naliczono im w dniach, kiedy w ogóle nie było ich w domu i urządzenie nie było używane. Wspominaliśmy już o tymZaloguj lub Zarejestruj się aby zobaczyć!i komentarze sugerują, że niejedna osoba była zaskoczona wysłanymi SMS-ami.
T-Mobile potwierdziło tylko tyle, że był problem z podatnością oprogramowania pewnego modelu routera.
Karty SIM sprzedawane przez T-Mobile standardowo mają włączoną możliwości wysyłania SMS premium. Każdy klient ma możliwość zrezygnowania z tej funkcjonalności podczas podpisania umowy i w dowolnym momencie w czasie jej trwania. Klienci mogą to zrobić podczas osobistej wizyty w salonie lub sklepie T-Mobile, kontaktując się z telefonicznym Biurem Obsługi Abonenta lub wysyłając SMS o treści ALL ON aby zablokować wszystkie usługi premium, lub SMS ON żeby zablokować tylko SMSy na numer, 80450.
Pojawienie się takich opłat może być powiązane z podatnością oprogramowania przynajmniej jednego z modeli routerów na atak zewnętrzny polegający na wysyłaniu SMSów Premium z konta użytkownika. Każdą reklamację jaką otrzymujemy rozpatrujemy indywidualnie. Jeśli zidentyfikujemy ją jako potencjalny efekt takiej podatności rozpatrujemy w sposób pozytywny dla klienta, co oznacza korektę faktury o kwotę naliczonych opłat za SMS premium. Dodatkowo zalecamy tym klientom wyłączenie funkcjonalności jaką jest wysyłanie SMS Premium oraz aktualizację oprogramowania routera.
Niestety T-Mobile nie chciało nam powiedzieć jaki model routera był (jest?) podatny. Biuro prasowe odmawiając tej informacji powołało się na względy bezpieczeństwa.
Mamy nadzieje, że wszystkie wasze komputery, routery i telefony są na bieżąco aktualizowane. I że nie korzystacie z tego routera, o którym wie T-Mobile, że jest podatny, ale którego marki i modelu nie chce ujawnić. Sprawdźcie czy przypadkiem go nie macie. Oh wait!