Podvodné zneužití mobilních plateb u O2
Napsal: ned 16. říj 2022 14:36:35
Zdá se, že O2 jde nepěkně "na ruku" různým podvodníkům a šmejdům.
Děje se tak už dlouho. Poslední dobou intenzita stížností roste. A před pár dny se mi podařilo zjistit více o technickém (a tím i byznysovém) pozadí problému nechtěných mobilních plateb.
Dejte si pozor.
Zákazníci O2 si stěžují, že na jejich číslo byla bez jejich vědomí objednána "mobilní platba" - typicky předplatné nějakých pochybných her, nebo stahování videí za částky okolo 100 Kč týdně... Někdy je třeba potvrdit předplatné (ze stránky objednávky nevede tlačítky na ní zobrazenými jiná cesta, než to potvrzení). Někdy stačí jen navštívit podvodnou stránku nebo kliknout na její reklamu. Není třeba do formuláře vypsat a pak v SMS ověřit svoji identifikaci (mobilní číslo).
Prokázalo se, že O2 a O2 Family (není jasné, zda se to týká i virtuálů v síti O2) má s těmito pochybnými firmami užší vztah - kromě inkasního servisu jim při http komunikaci poskytuje identifikaci zákazníka (jde o tzv. Header Enrichment), pod kterou je objednávka předplatného potvrzena, a to (údajně) někdy i zcela bez vědomí zákazníka.
Ostatní operátoři do http komunikace identifikaci zákazníka nevkládají, tudíž "nevědomé" objednání služeb není možné. Tam je "jen" problém u lidí, kteří se nechají zmanipulovat - např. uvěří tomu, že je někdo odmění jako miliontého zákazníka webové stránky, nebo že vyhráli iPhone v soutěži, které se neúčastnili... a své číslo vyplní na stránce, kde je v nějakém nenápadném odkazu uvedeno, že zařazením do soutěže souhlasí s podmínkami předplatného.
Další problém představují mobilní modemy a hotspoty, kde je objednávka cílena ne na zařízení objednávajícího, ale na zařízení poskytující připojení (problém pro provozovatele penzionů, lidi, co často nabízejí hot spot svému okolí, rodiny s dětmi připojenými na domácí mobilní modem...). Zde totiž informační SMS o tom, že bylo zahájeno předplatné a stržena platba z účtu u O2, přijde na modem, kde si ji nikdo nepřečte.
Možná řešení nebo snížení rizika:
a) zakázat na účtu u mobilního operátora mobilní platby (všichni je mají by default povolené)
b) nepoužívat služeb operátora O2 (tím se vyhnout nebezpečnému Header Enrichment... a dát tak také najevo svoji "důvěru" vůči O2)
c) nepoužívat mobilní data k surfování po webu
d) Neposkytovat veřejný hot spot, wifi přes mobilní data
e) Osvěta - upozorněte své známé u O2, pište na facebook O2, do ČTÚ a ČOI (i když ty od toho zatím dávají ruce pryč), volejte na zákaznickou linku O2, buďte hlasití.
Děje se tak už dlouho. Poslední dobou intenzita stížností roste. A před pár dny se mi podařilo zjistit více o technickém (a tím i byznysovém) pozadí problému nechtěných mobilních plateb.
Dejte si pozor.
Zákazníci O2 si stěžují, že na jejich číslo byla bez jejich vědomí objednána "mobilní platba" - typicky předplatné nějakých pochybných her, nebo stahování videí za částky okolo 100 Kč týdně... Někdy je třeba potvrdit předplatné (ze stránky objednávky nevede tlačítky na ní zobrazenými jiná cesta, než to potvrzení). Někdy stačí jen navštívit podvodnou stránku nebo kliknout na její reklamu. Není třeba do formuláře vypsat a pak v SMS ověřit svoji identifikaci (mobilní číslo).
Prokázalo se, že O2 a O2 Family (není jasné, zda se to týká i virtuálů v síti O2) má s těmito pochybnými firmami užší vztah - kromě inkasního servisu jim při http komunikaci poskytuje identifikaci zákazníka (jde o tzv. Header Enrichment), pod kterou je objednávka předplatného potvrzena, a to (údajně) někdy i zcela bez vědomí zákazníka.
Ostatní operátoři do http komunikace identifikaci zákazníka nevkládají, tudíž "nevědomé" objednání služeb není možné. Tam je "jen" problém u lidí, kteří se nechají zmanipulovat - např. uvěří tomu, že je někdo odmění jako miliontého zákazníka webové stránky, nebo že vyhráli iPhone v soutěži, které se neúčastnili... a své číslo vyplní na stránce, kde je v nějakém nenápadném odkazu uvedeno, že zařazením do soutěže souhlasí s podmínkami předplatného.
Další problém představují mobilní modemy a hotspoty, kde je objednávka cílena ne na zařízení objednávajícího, ale na zařízení poskytující připojení (problém pro provozovatele penzionů, lidi, co často nabízejí hot spot svému okolí, rodiny s dětmi připojenými na domácí mobilní modem...). Zde totiž informační SMS o tom, že bylo zahájeno předplatné a stržena platba z účtu u O2, přijde na modem, kde si ji nikdo nepřečte.
Možná řešení nebo snížení rizika:
a) zakázat na účtu u mobilního operátora mobilní platby (všichni je mají by default povolené)
b) nepoužívat služeb operátora O2 (tím se vyhnout nebezpečnému Header Enrichment... a dát tak také najevo svoji "důvěru" vůči O2)
c) nepoužívat mobilní data k surfování po webu
d) Neposkytovat veřejný hot spot, wifi přes mobilní data
e) Osvěta - upozorněte své známé u O2, pište na facebook O2, do ČTÚ a ČOI (i když ty od toho zatím dávají ruce pryč), volejte na zákaznickou linku O2, buďte hlasití.