У бывшего топ-менеджера МТС украли 4 тыс. конфиденциальных писем

Переписка сотрудников МТС с контент-провайдерами показывает, что зачастую участники рынка мобильного контента используют некорректные приемы по отношению к абонентам. Например, при заходе абонента на веб-сайт без очевидного согласия с его стороны оформляют платную подписку. Вот как начинается письмо правообладателям, направленное из компании Shamrock Games: «Мы планируем запустить мобильный «КиноКлуб», где абоненты смогут бесплатно смотреть фильмы/сериалы, но за подписку.:-)»

Другой пример: письмо из компании TVScope (подразделение «Газпром-Медиа) относительно предстоящего запуска WAP-портала MTSFilm. В письме предлагается следующая схема работы сервиса: абонент заходит на сайт с телефона, его номер автоматически определяется, после чего ему оформляется бесплатная подписка с автоматическим переводом на платный доступ через неделю, пишет cnews.ru.

Автор письма жалуется, что один из сотрудников МТС настаивает на другой схеме: абонент сам должен ввести свой номер, получить SMS с кодом и затем ввести его на сайте. «Если именно так сделать, то можно проект закрывать, денег в нем не будет», - честно предупреждает представитель TVScope.

Для защиты от мошенничества МТС и другие сотовые операторы внедрили так называемые landing page (LP). Такие страницы показываются абоненту при попытке оформить подписки со стороннего веб-сайта. В связи с этим от провайдера «Инкор-Медиа» поступила душераздирающая просьба: «Люди в***али денег в рекламу. Можем сказать, чтобы убрать сейчас цену с лендинга и продержаться еще неделю? Люди хоть в ноль сработают ... Иначе мне придется как-то компенсировать потери, не знаю пока как. Поймите меня правильно».

Собеседник CNews, которому была адресована эта просьба, объясняет ее так: «У «Инкор» был контракт с рекламодателем, заключенный еще до введения landing page, и он просил его продлить, но получил отказ».

Ряд писем посвящен переговорам с юристами МТС, которые настаивают на том дизайне LP, из-за которого «не будет высокого конверта» (соотношение платных подписчиков к общему числу посетителей сайта). В то же время МТС сама предоставила контент-провайдерам возможность модифицировать LP и убирать c нее логотип, причем некоторые провайдеры удалили со страницы даже цены.

Письмо, направленное партнером Свинцова в «Инкор»: «Нас сильно подставило, что вы гнали последнее время кастомный ЛП без указания стоимости. В версии кастомнго ЛП, которую мы согласовывали – стоимость была. Поэтому сразу хочу проговорить, что все подобные темы – левак не обсужденный с нами – мы мочить конечно не будем, но и ручаться за прикрытие невозможно». Он говорит, что он никак не мог повлиять на взаимоотношения провайдера с МТС и лишь предупредил его о своем несогласии с таким подходом

Еще в одном письме владелец «Инкор-Медиа» жалуется на то, что у его конкурента — i-Free — есть эксклюзивные возможности по взаимодействию с сотовыми операторами. “В “Билайне”, как мы помним, у i-Free был 2 года эксклюзив на мобильную коммерцию, куда они лили СРА трафик. В нашем случае ситуация еще печальнее: i-Free уже сейчас убивают тему, подписывая модемы на все сервисы. Они подкладывает гранату в пороховой склад. Тема может умереть для всех”.

Управляющий директор i-Free Кирилл Горыня опроверг информацию о таких возможностях своей компании. «У нас не было и не могло быть никакого эксклюзива в «Билайне», эксклюзив там может быть только у одного провайдера, и вы его прекрасно знаете, - сообщил Горыня.- В МТС была лишь возможность подписывать владельцев модемов на некоторые сервисы с портала оператора, но сейчас нет и этого».

Кто считает Касперского некомпетентным

Естественно, что при высоком объеме мобильного мошенничества приходится иметь дело с потоком жалоб от абонентов. В этой связи интересны две истории, освещенные в переписке Свинцова. В одном случае контент-провайдер выражает удивление, почему сервис был приостановлен сразу же после поступления первой жалобы. На что был дан ответ, что жалобу подал некий региональный чиновник. Дальнейших вопросов не последовало.

В другом случае советник «МТС-Кубань» по безопасности написал заявление в Управление «К» МВД с жалобой на мошенничество с короткими номерами, закрепленными за Next Media. Причем один из этих номеров использовался для брендированного сервиса МТС. Участники переписки удивляются такому поведению сотрудника и предлагают провести в отношении него внутреннее расследование.

Из переписки следует, что активной борьбой с мобильным мошенничеством в МТС занимается департамент информационной безопасности (ДИБ). Например, осенью 2012 г. ДИБ проинформировал отдел по взаимодействию с контент-провайдерами о фактах мошенничества с короткими номерами провайдера «Пластик-Медиа», и, в связи с отсутствием реакции, заблокировал эти номера самостоятельно.

В другом случае ДИБ установил AOC (автоинформатор о стоимости сервиса перед его запросом) на ряд номеров «Инкор-Медиа» после обнаружения Java2Me-приложений, отправлявших без явного ведома абонента платные SMS на эти номера. Данное приложение классифицировалось «Антивирусом Касперского» как троянское. Однако провайдер выразил несогласие с такими мерами, поскольку данное приложение не является троянским, а лишь «упрощает абонентам процесс отправки SMS».

“Точка зрения “Лаборатории Касперского” (ЛК) нам известна, аналогичный вопрос возникал в "Вымпелкоме", - говорится в письме. - Мы неоднократно проводили трехсторонние встречи со специалистами службы безопасности “Вымпелкома» и представителями ЛК, в результате совместных встреч ЛК признала, что мобильный и web-трафик имеют большую разницу в алгоритмах определения вирусов, и лаборатория не обладает достаточным опытом в работе с мобильным трафиком, в отличие от web”.

Впрочем, провайдеру в итоге пришлось-таки удалить спорное приложение. Возмущение контент-провайдера объясняется тем, что в МТС на тот момент отсутствовали четкие критерии того, как классифицировать мобильные приложения.

Как World of Tanks превратилась в систему денежных переводов

В переписке обнаружился и любопытный момент относительно взаимодействия с платежными системами. Так, в письме в «Океан-банк» из принадлежащей «Вымпелкому» системы Ruru (юридическое лицо - НСК) содержится просьба изменить категорию онлайн-игр World of Tanks и Innova на «денежные переводы». Это должно привести к тому, что с абонентов МТС, заплативших за данные игры, будет взиматься операторская комиссия в размере 5% вместо 11,2%.

В ответе представитель «Океан-банка» обещает помочь, но предупреждает о возможных последствиях. «Подмена категории официально не может быть согласована, и в рамках неофициальной работы с операторами нам расписок и чеков никто не дает, - говорится в письме. - Поэтому, к сожалению, я не могу 100% исключать того, что МТС попросит прекратить подмену категории и все привести в соответствие. НСК предупреждены о том, что мы переведем этот сервис в другую категорию по первому же требованию МТС. А МТС проявит снисходительность к «Билайну», когда это обнаружат. В случае чего – мы будем делать удивленное лицо и списывать все на случайную неразбериху с документами».

Представитель Ruru, инициировавший данную переписку, заявил, что он лишь просил снизить комиссию по некоторым сервисам для его системы, и не участвовал в дальнейшем обсуждении. Его собеседник из «Океан-банка» также говорит, что всего лишь хотел уменьшить размер комиссии, так как этим активно пользуются конкуренты, но в итоге получил отказ.

В целом партнер Ярослава Свинцова высказал мнение, что факт взлома почты и утечки переписки является заказом против них. «Задача бизнеса — оптимизировать расходы, поэтому при чтении чужой бизнес-переписки может сложиться впечатление о каком-то мошенничестве, - говорит - Но ничего такого в наших переговорах не было. Тем более что ящик взломали в ноябре, а переписку выложили лишь в конце января, а за это время можно было многие письма подправить нужным образом».

В МТС не стали комментировать факты, изложенные в переписке, выразив сомнение в ее достоверности. «Служба безопасности сейчас проводит проверку по данному факту», - добавили в компании.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Linux-версию бэкдора DinodasRAT заметили в реальных кибератаках

Эксперты «Лаборатории Касперского» зафиксировали в реальных кибератаках Linux-версию мультиплатформенного бэкдора DinodasRAT. Вредонос, которого также называют XDealer, написан на C++ и позволяет операторам собирает конфиденциальные данные.

Об активности DinodasRAT предупреждали ещё в октябре 2023 года специалисты антивирусной компании ESET. Тогда злоумышленники распространяли исключительно версию для Windows.

За атаками DinodasRAT, как считают исследователи, стоят китайские киберпреступные группировки, одна из которых, — LuoYu. Например, Trend Micro приписывает распространение бэкдора группе Earth Krahang.

Теперь «Лаборатория Касперского» выявила Linux-версию вредоноса, проходящую под номером V10. Этот образец предназначен в основном для дистрибутивов на базе Red Hat и Ubuntu.

После выполнения бэкдор «окапывается» в системе, используя скрипты запуска SystemV и SystemD, а затем периодически пытается соединиться с удалённым сервером по TCP или UDP. Последний присылает зловреду команды.

DinodasRAT может совершать операции с файлами, менять адреса командного сервера (C2), составлять список запущенных процессов и завершать их, выполнять шелл-команды, скачивать новую версию бэкдора и удалять свою копию из системы.

Инструменты отладки и мониторинга используются для ухода от детектирования, а для маскировки общения с C2 DinodasRAT задействует Tiny Encryption Algorithm (TEA).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru