Podvodné zneužití mobilních plateb u O2

Chcete probrat nezařaditelné téma ?
5uch
Příspěvky: 453
Registrován: stř 21. lis 2012 4:01:18

Podvodné zneužití mobilních plateb u O2

Příspěvek od 5uch »

Zdá se, že O2 jde nepěkně "na ruku" různým podvodníkům a šmejdům.
Děje se tak už dlouho. Poslední dobou intenzita stížností roste. A před pár dny se mi podařilo zjistit více o technickém (a tím i byznysovém) pozadí problému nechtěných mobilních plateb.
Dejte si pozor.

Zákazníci O2 si stěžují, že na jejich číslo byla bez jejich vědomí objednána "mobilní platba" - typicky předplatné nějakých pochybných her, nebo stahování videí za částky okolo 100 Kč týdně... Někdy je třeba potvrdit předplatné (ze stránky objednávky nevede tlačítky na ní zobrazenými jiná cesta, než to potvrzení). Někdy stačí jen navštívit podvodnou stránku nebo kliknout na její reklamu. Není třeba do formuláře vypsat a pak v SMS ověřit svoji identifikaci (mobilní číslo).

Prokázalo se, že O2 a O2 Family (není jasné, zda se to týká i virtuálů v síti O2) má s těmito pochybnými firmami užší vztah - kromě inkasního servisu jim při http komunikaci poskytuje identifikaci zákazníka (jde o tzv. Header Enrichment), pod kterou je objednávka předplatného potvrzena, a to (údajně) někdy i zcela bez vědomí zákazníka.
Ostatní operátoři do http komunikace identifikaci zákazníka nevkládají, tudíž "nevědomé" objednání služeb není možné. Tam je "jen" problém u lidí, kteří se nechají zmanipulovat - např. uvěří tomu, že je někdo odmění jako miliontého zákazníka webové stránky, nebo že vyhráli iPhone v soutěži, které se neúčastnili... a své číslo vyplní na stránce, kde je v nějakém nenápadném odkazu uvedeno, že zařazením do soutěže souhlasí s podmínkami předplatného.

Další problém představují mobilní modemy a hotspoty, kde je objednávka cílena ne na zařízení objednávajícího, ale na zařízení poskytující připojení (problém pro provozovatele penzionů, lidi, co často nabízejí hot spot svému okolí, rodiny s dětmi připojenými na domácí mobilní modem...). Zde totiž informační SMS o tom, že bylo zahájeno předplatné a stržena platba z účtu u O2, přijde na modem, kde si ji nikdo nepřečte.

Možná řešení nebo snížení rizika:
a) zakázat na účtu u mobilního operátora mobilní platby (všichni je mají by default povolené)
b) nepoužívat služeb operátora O2 (tím se vyhnout nebezpečnému Header Enrichment... a dát tak také najevo svoji "důvěru" vůči O2)
c) nepoužívat mobilní data k surfování po webu
d) Neposkytovat veřejný hot spot, wifi přes mobilní data
e) Osvěta - upozorněte své známé u O2, pište na facebook O2, do ČTÚ a ČOI (i když ty od toho zatím dávají ruce pryč), volejte na zákaznickou linku O2, buďte hlasití.
Naposledy upravil(a) 5uch dne pát 28. říj 2022 5:12:44, celkem upraveno 5 x.
VOX 802 -> Odorik byla jasná volba
Kristovec
Příspěvky: 1526
Registrován: ned 07. srp 2011 18:03:28

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od Kristovec »

Díky za varování. Já mám teď sice Pichláče, Kaktus, a i moji ukrajiští operátoři pracují v T-M,ale je dobré tohle vědět !
Kristovec
Příspěvky: 1526
Registrován: ned 07. srp 2011 18:03:28

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od Kristovec »

Téma na diskusi : Serióznost mobilních operátorů. Od Kyivstaru mám na jedné SIMce tarif LOVE UA s 12 GB a 1 200 minutami. Ale vypozoroval jsem,že oni každý den po vyjetí asi 1 GB ro zpomalí na 2G rychlost . Dříve jsem měl datově neomezený Tvůj Maksimum, podle podmínek má být asi 50 GB plnou rychlostí, a až pak zpomalit. Ale kdepak, platí tentýž princip - denně 1 GB naplno a pak hlemýžď. A ro nejen tady v roamu,ale i na Ukrajině v domácí síti. Loni jsem tam byl celé tři měsíce. No, není to fér od žádného OPa.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od alfi »

Tohle se víc či míň děje už dlouho - co existují mobilní platby. Dělo se to u premium SMS (nechtěné objednávky týdenních předplatných..), dělo se to, kde je povolené automatické přihlášení na mplatbu nebo rovnou z faktury operátora (a pak stačí jeden návštěvník na hotspotu), dělají to mobilní aplikace, které můžou na pozadí volat či smskovat. Děje se to vlastně i u platebních karet (stačí mi znát číslo karty a můžu strhávat platbu). Mj. nějakou formu identifikace zákazníka vkládanou do http vidím i já jako provozovatel služby jinde, tj. nedělá to jen O2.. :)
V důsledku je to stejně o vztahu provozovatel platební brány a toho, kdo takhle peníze získává - vždycky se najde nějaký nepoctivec, který to bude chtít zneužít, a je jen na tom provozovateli, jak rychle to odhalí a jak rychle s ním ukončí smlouvu :)
5uch
Příspěvky: 453
Registrován: stř 21. lis 2012 4:01:18

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od 5uch »

alfi píše:...Dělo se to u premium SMS (nechtěné objednávky týdenních předplatných..), dělo se to, kde je povolené automatické přihlášení na mplatbu nebo rovnou z faktury operátora (a pak stačí jeden návštěvník na hotspotu), dělají to mobilní aplikace, které můžou na pozadí volat či smskovat. Děje se to vlastně i u platebních karet (stačí mi znát číslo karty a můžu strhávat platbu).
Ano, mobilní platby jsou tak trochu díra do kapsy zákazníka, ale (když pominu ty férové a užitečné) - zákazník musí jít podvodné platbě naproti: Nainstalovat si podezřelou aplikaci. Odeslat (zmanipulován?) nějakou objednávací/potvrzovací SMS. Dát číslo telefonu nebo platební karty neznámému subjektu.

Ale v případě, na který upozorňuji, lze do toho spadnout i jinak normálním způsobem: jedním až třemi kliknutími potvrdíte svoji identitu. A v případě těch extrémně podvodných případů stačí jediné kliknutí - a při něm vůbec netušíte, že něco potvrzujete a objednáváte. Třeba se jen křížkem pokoušíte zavřít něco, co při procházení webu vyskočilo jako reklama a zakrývá vám to výhled. Nebo máte pod článkem něco, co vypadá jako přehrávač videa ke článku, ve skutečnosti je to reklama a klik na to souhlas s předplatným. Alespoň takové reakce se objevují a neházel bych je do pytle "výmyslů" (i když osobně jsem se s tím nesetkal). Ale už jsem se setkal s tím, že potvrzovací stránka vypadala při opakovaných návštěvách jinak při první návštěvě (rozkliknout obrázky):
První návštěva webu
První návštěva webu
2022-10-20 15 55 17.png (33.31 KiB) Zobrazeno 3152 x
První návštěva: podmínky skryté za odkazem, výzva typu "něco pro vás máme, zadejte telefonní číslo a budeme s tím pokračovat (viz tlačítko)...". Není uvedena cena.

...a jinak při dalších návštěvách
2022-10-20 15 58 34.png
2022-10-20 15 58 34.png (87.04 KiB) Zobrazeno 3152 x
Další návštěvy: uvedena cena, rozepsány podmínky, na tlačítku je jasně uvedeno: "Zaplať pomocí SMS".
alfi píše:nějakou formu identifikace zákazníka vkládanou do http vidím i já jako provozovatel služby jinde, tj. nedělá to jen O2.. :)
No, jiní operátoři s tím takové problémy nemají... ono jde nejen o vkládání identifikace, ale i o to, s kým a na jaké technické a smluvní bázi který operátor spolupracuje. U ostatních operátorů je pro tento typ plateb nejprve někam vyplnit své telefonní číslo.
VOX 802 -> Odorik byla jasná volba
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od alfi »

5uch píše:
alfi píše:nějakou formu identifikace zákazníka vkládanou do http vidím i já jako provozovatel služby jinde, tj. nedělá to jen O2.. :)
No, jiní operátoři s tím takové problémy nemají... ono jde nejen o vkládání identifikace, ale i o to, s kým a na jaké technické a smluvní bázi který operátor spolupracuje. U ostatních operátorů je pro tento typ plateb nejprve někam vyplnit své telefonní číslo.
To je to, co píšu - je v podstatě jedno, jestli-jakou identifikaci používají. Pokud je nějaká platební metoda, velmi pravděpodobně ji provozovatel dokáže zneužít, když bude chtít - ať už přes tel. číslo nebo nějaké klikání. A jediné, jak tomu zabránit, jsou smluvní podmínky s takovým provozovatelem, aby to nezkoušel :) Na stejném principu fungují i platební karty (spíš dřív fungovaly - bez online přístupu nebo CVC) - důvěřuje se obchodníkovi, že to nebude zneužívat. A když bude, o smlouvu přijde
pe.havel
Příspěvky: 223
Registrován: pát 02. zář 2016 10:34:20

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od pe.havel »

alfi píše:
5uch píše:
alfi píše:nějakou formu identifikace zákazníka vkládanou do http vidím i já jako provozovatel služby jinde, tj. nedělá to jen O2.. :)
No, jiní operátoři s tím takové problémy nemají... ono jde nejen o vkládání identifikace, ale i o to, s kým a na jaké technické a smluvní bázi který operátor spolupracuje. U ostatních operátorů je pro tento typ plateb nejprve někam vyplnit své telefonní číslo.
To je to, co píšu - je v podstatě jedno, jestli-jakou identifikaci používají. Pokud je nějaká platební metoda, velmi pravděpodobně ji provozovatel dokáže zneužít, když bude chtít - ať už přes tel. číslo nebo nějaké klikání. A jediné, jak tomu zabránit, jsou smluvní podmínky s takovým provozovatelem, aby to nezkoušel :) Na stejném principu fungují i platební karty (spíš dřív fungovaly - bez online přístupu nebo CVC) - důvěřuje se obchodníkovi, že to nebude zneužívat. A když bude, o smlouvu přijde
Já bych to s těmi platebními kartami neporovnával (jak píšete - dříve to tak spíše bylo), protože dneska to má docela dost bezpečnostních prvků – kódy, ověření přes sms/aplikaci, stáhnutí limitu, možnosti reklamace u banky, obnova/výměna karty a její identifikace, s citlivými údaji většinou pracují jen platební brány, které mají vyšší nároky na bezpečnost, opora v zákonech a normách ohledně platebních prostředků atd. – nic z toho u mPlateb u O2 není (i vypnutí mPlateb nic neřeší, O2 to po čase zase tajně někomu zapnulo). Není se ani na koho obrátit, kde to reklamovat, nic. Čím více o tom čtu, tím více mi to přijde jako jeden velký kamuflovaný podvod.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od alfi »

pe.havel píše:Já bych to s těmi platebními kartami neporovnával (jak píšete - dříve to tak spíše bylo), protože dneska to má docela dost bezpečnostních prvků – kódy, ověření přes sms/aplikaci, stáhnutí limitu, možnosti reklamace u banky, obnova/výměna karty a její identifikace, s citlivými údaji většinou pracují jen platební brány, které mají vyšší nároky na bezpečnost, opora v zákonech a normách ohledně platebních prostředků atd. – nic z toho u mPlateb u O2 není (i vypnutí mPlateb nic neřeší, O2 to po čase zase tajně někomu zapnulo). Není se ani na koho obrátit, kde to reklamovat, nic. Čím více o tom čtu, tím více mi to přijde jako jeden velký kamuflovaný podvod.
Karty sice mají různé zabezpečení, ale ještě nedávno šlo třeba u Amazonu zaplatit online jen s číslem karty (žádné potvrzování, žádné CVC.. jak je to teď nevím), na magnetickém proužku je taky jen číslo karty.. Reklamovat můžete i u O2, zákony o platebních prostředcích platí i pro tohle, dokonce mají navíc vlastní pravidla (http://www.platmobilem.cz/kodexy-sluzeb), služba jde vypnout, jakž takž má i limity.. to, že to někomu zapnou nebo nezafunguje reklamace je spíš šlendrián u operátora. Jestli je v tom nějaký podvodník, pak jen ten obchodník, který se to snaží zneužít pro svůj zisk :)
mikee.
Příspěvky: 7
Registrován: ned 02. lis 2014 18:23:14

Re: Podvodné zneužití mobilních plateb u O2

Příspěvek od mikee. »

Také mám podobnou zkušenost, mobilní platby mám u O2 naštěstí blokované. 18.6. jsem ratolesti na chvíli u vody půjčil iPhone, ve hře vyskočila reklama 3. strany a pro přihlášení k platbě stačilo kliknout bez vyplnění čísla na tlačítko. Některé reklamy mají prohozené barvy u tlačítek (normálně je zelená - jít na stránku s nabídkou, červená - zavřít reklamu, často je to však obráceně, případně jsem už v grafice jedné reklamy zaznamenal i falešný křížek pro zavření, který přesměroval na nabídku) a už jsem nezjistil, o jakou konkrétně šlo. Každopádně, přišla sms ve znění: "Vitejte! Aktivoval/a jste si zkusebni obdobi PlayWeez https://www.playweez.cz/. Pocet dni zkusebniho obdobi: 1. Pote 99 Kc/TYDNE. Zruseni predplatneho http://c-up.me/xxxxxx. Pomoc +420 511 444 956 - reklamace@mojepredplatnesms.cz" nasledovaná další SMS "Vitejte ve sluzbe Playweez. Tady jsou vase prihlasovaci udaje: abcde1ab2 a Vase heslo 1234, pro pristup k nejlepsim mobilnim hram." Na uvedené stránce nebyl po přihlášení zaslanými údaji odkaz na zrušení funkční (klasická chyba 404) a v podmínkách služby (dole na stránce pod tlačítkem Pravidla) jsou nekompletní (např. 3.2, Activation process - TBD a 5.3, Deactivation process - TBD) a neodpovídající (pro přihlášení se nezasílá SMS) ustanovení včetně postupu na ukončení předplatného. Nejsem si tedy jistý, jestli by bylo vůbec reálně možné se domoci zrušení služby. Přesně den po první SMS se pokusili neúspěšně strhnout první platbu, o čemž mi dorazila od O2 SMS, po 2 dnech podruhé a po 3 dnech poslední. Následně přišla od Playweez další sms, že předplatné bylo ukončeno. Ještě pro zajímavost, Google vydoloval pdf se seznamem těchto obchodníků, se kterými O2 spolupracuje - https://www.o2.cz/osobni/-a112407?field=data
Odpovědět