Bezpieczeństwo w sieci

Uważajcie na wzmożone ataki wykorzystujące Direct Billing i WAP Billing. Zwłaszcza klienci T-Mobile

Grzegorz Ułan
Uważajcie na wzmożone ataki wykorzystujące Direct Billing i WAP Billing. Zwłaszcza klienci T-Mobile

Dostaliśmy na naszą skrzynkę redakcyjną ostrzeżenie od jednego z klientów T-Mobile, który na fakturze na koniec miesiące znalazł opłaty na 13 zł i 15 zł, za usługi, których nie włączał. Na podobne zgłoszenie trafiłem dziś na Wykop.pl, również od klienta T-Mobile. Postanowiliśmy więc poruszyć temat jako ostrzeżenie dla innych. Zresztą taka też była intencja naszego Czytelnika, którego sprawa znalazła swój szczęśliwy finał.

W zasadzie to nie jest ostrzeżenie, bo trudno się przed tymi atakami ustrzec, jedyny sposób to blokada wszelkich usług Premium, nie tylko na karcie SIM w smartfonie, ale i w routerze, jeśli korzystacie z internetu mobilnego. Powiem nawet, że zwłaszcza w routerze, w którym mamy kartę SIM i nie odczytujemy z niej przychodzących wiadomości SMS, informujących na przykład o aktywacji usług SMS Premium.

Zacznijmy jednak od tego czym jest Direct Billing i WAP Billing. Direct Billing to są płatności za aktywowane w sieci usługi, które są doliczane bezpośrednio do rachunku telefonicznego klientów, na które zgodę muszą wyrazić sami operatorzy. Zgłasza się więc firma oferujące usługi premium, przedstawia operatorowi strony, na których będzie świadczyć swoje usługi, operator je zatwierdza i od tego momentu, klienci aktywujący usługi w ich ramach są na koniec miesiąca nimi obciążani.

Istotnym ich elementem jest to, że muszą być dokładnie opisane, klient podaje w nich swój numer telefonu, akceptuje, operator wysyła SMS z potwierdzeniem i kodem PIN potrzebnym do jego aktywacji przez klienta.

Do tej pory wszystko wygląda ok, ale tu wkracza teraz WAP Billing, czyli usługa popularna niegdyś, za czasów wykupywania w sieci dzwonków, gier czy tapet na telefony. Nie wymagała podawania numerów telefonów, ten „wyciągany”  jest z MSISDN, na przykład po po kliknięciu w link czy reklamę i wejściu na stronę z zaszytą w kodzie usługą. Nie trzeba tu potwierdzać tego dodatkowymi kodami czy PIN-ami. Problem z WAP Billing poruszał Niebezpiecznik już w 2015 roku, opisując zgłoszenie w tej sprawie, co ciekawe również klienta T-Mobile.

Jest jeszcze jeden punkt wspólny tych 3 spraw, operator odrzuca reklamację, powołując się na skorzystanie przez klienta z usługi Direct Billing. Co ciekawe T-Mobile jest świadome tego, że usługa WAP Billing może być zaszyta w stronie dostawców i poleca tu jedynie dokładne czytanie akceptowanych komend.

Wiemy to ze zgłoszenia naszego Czytelnika:

Chcę podzielić się moją krótką historią na temat Directbilling i zwykłej kradzieży pieniędzy. Sytuacja zaczęła się dnia 6.11, gdy grałem w grę z dopiskiem ".io" ze sklepu Google Play, przynajmniej tak mi się wydaje. Ponieważ gra przy włączaniu resetowała się pary razy zanim się dobrze uruchomiła. Niby nic się nie stało a jednak... Zaznaczam, że stało się to błyskawicznie, w żadną reklamę nie klikałem, nie wyrażałem zgody na nic, po prostu stało się... Dnia 8.11 sprawdziłem swoje konto abonenckie i z ogromnym zdziwieniem odkryłem dwa razy naliczoną kwotę w wysokości 13zł i 15zł, wtedy zacząłem szukać informacji na ten temat i znalazłem: https://hotpay.pl/blog/direct-billing-wap-billing-obciazenia/. Zacząłem od mojego operatora, czyli T-Mobile, odpowiedz jaką uzyskałem po 10 dniach to:

Dzień dobry.

Przeanalizowałam konto nr 66x40x70x i wyjaśniam, że opłaty w bieżącym cyklu naliczyliśmy za skorzystanie z usługi Direct Billing.

Opłaty są prawidłowe i nie mam podstaw do ich zwrotu. Aby przybliżyć Panu działanie usługi Direct Billing wyjaśniam, że Direct Billing jest sposobem przeprowadzania transakcji w Internecie za pomocą karty SIM realizowanym z firmą zewnętrzną. Realizując zakupy np. poprzez Sklep Google Play, Klienci korzystają z opcji „Zapłać z T-Mobile”, a transakcja jest dokonywana w ciężar rachunku (abonament). Z odpłatności tej można korzystać również realizując cykliczne opłaty za uruchomienie płatnego dostępu do stron internetowych różnych dostawców usług (filmy, gry itp..).

Z uwagi, iż nie jesteśmy usługodawcą ani też organizatorem wskazanych serwisów, nie mamy dokładnych informacji o sposobie ich działania. Nie możemy również precyzyjnie określić okoliczności towarzyszących zgłoszeniu Pana numeru. Nie ponosimy odpowiedzialności za świadome, lub nieświadome działania i decyzje Abonenta. Ponosimy natomiast odpowiedzialność za usługi telekomunikacyjne odpowiadające za skuteczne dostarczenie wiadomość pomiędzy uczestnikiem a dostawcą.

Kod logowania wskazuje, że obciążenie dotyczyło przekazania lub dostępu do treści dostępnych od 18 roku życia, tzw. dla dorosłych –kod usługi DIRECT.BILLING.DV.18. Zakupienie usługi nastąpiło 06.11.2019.

Nadmieniam, iż czynności skorzystania z opcji Direct Billing przez internet wymagają wyrażenia zgody na otrzymywanie wiadomości z danego serwisu. Czasem akceptacja usługi zaszyta jest na stronie dostawcy i Klient wyraża zgodę poprzez samo wejście lub aktywowanie zakładek. Wobec tego trudno przypuszczać, aby ich charakter mógł być przypadkowy. Ważne jest, aby dokładnie czytać w internecie akceptowane komendy.

W świetle powyższych informacji nie znalazłam nieprawidłowości na Pana koncie. Opłaty naliczyliśmy prawidłowo.

Powyższą kwestię może Pan zareklamować bezpośrednio do firmy, która świadczyła usługę. Dane kontaktowe podaję poniżej:

+48 22 312 10 00 info@digitalvirgo.pl www.digitalvirgo.pl

Ponadto potwierdzam, że w dn. 08.11.2019 poprzez system samoobsługowy założył Pan blokadę na wszystkie usługi Premium.

Teraz przejdźmy do drugiego zgłoszenia w serwisie Wykop, nie będziemy jego cytować, bo nacechowane jest niecenzuralnymi określeniami, co najważniejsze z niego to to, że również dotyczy dostawcy usług Digital Virgo i operatora T-Mobile.

Pozytywną wiadomością jest to, że akurat reklamację naszego Czytelnika dostawca ów uwzględnił i zwrócił naliczone przez T-Mobile opłaty:

Witamy,

W dniu 2019-11-06 05:42:50 zarejestrowano połączenie ze stroną serwisu www/wap umożliwiającą dostęp do treści serwisu. Zgodnie z naszą wiedzą przed wejściem na stronę serwisu WWW/WAP na bezpłatnej stronie Użytkownik otrzymuje informację o kosztach dostępu do serwisu. Serwis nie ma charakteru subskrypcji.

Istnieje możliwość zwrócenia się do Operatora o włączenie blokady directbilling/ DB, która uniemożliwi połączenia z serwisami WWW/WAP. Mając na uwadze otrzymaną reklamację zostanie dokonany zwrot kosztów dotyczących dostępu do serwisu WWW/WAP. W celu realizacji zwrotu poprzez przelew bankowy prosimy w mailu zwrotnym wskazać dane niezbędne do jego realizacji.

Jeśli bezpośrednio nie korzystał Pan ze wskazanej usługi/serwisu, to prosimy również o sprawdzenie fizycznie samego urządzenia (telefonu) pod kątem wirusów, nieautoryzowanego oprogramowania, aplikacji, gier (np. GooglePlay lub spoza GooglePlay), czy też przeglądarek pobranych z nieznanych źródeł. Aplikacje tego typu, mając odpowiednie prawa dostępu do zasobów telefonu, mogą wykonywać połączenia i łączyć się z Internetem w tle bez bezpośredniej aktywności użytkownika. Zalecamy także kontrolę udostępniania (współdzielenia) połączenia internetowego innym użytkownikom.

Tak więc jeśli padliście ofiarą takiego ataku, jest duża szansa, że odzyskacie pieniądze, jeśli jeszcze nie - zablokujcie na Waszym koncie u swojego operatora usługi tego typu, by uniknąć w przyszłości niepotrzebnych perypetii z tym związanych.

Photo: romankosolapov/Depositphotos

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu