По данным издания, проблема возникла после переезда компании на новую IT-систему. Из-за возникшего бага злоумышленники могут активировать платную подписку при просмотре сайтов с мобильных устройств без согласия пользователя. Проблема связана с технологией MSISDN («Wap-клик»): она позволяет подключить в один клик подписку, определив номер мобильного телефона, с которого пользователь зашел на сайт. С такой проблемой раньше сталкивались абоненты других операторов.
Жертва киберпреступления после череды переадресаций по разным ресурсам наблюдает на экране своего устройства картинку с сайта youtube-mobile.com, который не имеет никакого отношения к YouTube. В центре страницы находится кнопка «Play». При нажатии на нее пользователь переходит на ролик с настоящего сервиса YouTube (либо у него открывается соответствующее мобильное приложение). Одновременно у пользователя активируется платная подписка, которая обходится пользователю в 20 рублей в день. Если пользователь не отключит подписку, то денежные средства будут списываться с его счета постоянно.
По словам источника издания, эта мошенническая технология называется IFrame. На странице домена youtube-mobile.com, маскирующейся под ролик YouTube, открывается landing page от «Вымпелкома», однако пользователь ее не видит, так как она закрыта псевдоизображением ролика. Кнопка «Play» является кнопкой активации подписки: то есть оператор полагает, что его абонент согласился на подключение подписки.
В «Вымпелкоме» изданию заявили, что уже устраняют уязвимость, однако новые настройки будут закончены только к 23 сентября. А в реальном мире у абонентов и сотрудников «Вымпелкома» другие проблемы. После поста в Facebook москвички Анны Знаменской о том, что SIM-карту с ее номером трижды выдавали злоумышленникам без предъявления паспорта и кодового слова в разных городах России, «Билайн» обнаружил среди своих бывших и нынешних сотрудников преступную группу, которая воровала SIM-карты клиентов. Об этом сообщил руководитель службы социальных медиа «Вымпелкома» Олег Бармин. Как показало внутреннее расследование инцидента с выдачей чужих SIM-карт посторонним лицам, компания выявила несколько групп злоумышленников в разных городах, которые с помощью поддельных доверенностей получали SIM-карты жертвы.
По словам Бармина, одной из банд руководил бывший сотрудник компании. Все виновные были уволены, руководство «Вымпелкома» обратилось в полицию с требованием возбудить уголовное дело и рекомендовало написать заявление о происшествии самой пострадавшей. Гендиректор компании «Вымпелком» (бренд «Билайн») Михаил Слободин принес свои извинения абоненту сети и отметил, что в течение месяца компания подготовит план по минимизации рисков, связанных с мобильными финансами.
.png)