Shortly in english:
A Finnish company started to spam people by SMS messages (sex messages) after they visited specific websites by a mobile phone or a mobile broadband. I decided to take a look.
At the first sight, many of the domains were looking legit, but the top-level domain wasn't the correct one. This all happened automatically (no user action was needed). It was possible because of a trust between the service provider (the company) and the mobile operators (TeliaSonera and Elisa). The mobile operators forwarded your phone number to the service provider. Receiving messages didn't cost me anything, but people have reported that they've been charged also for receiving.
There was no instructions available how to unsubscribe till the second SMS message. Unsubscribing did cost you 2 euros, even you never subscribed to any service. Or you could call to the company. I did both and also asked how they got my number (I visited one of the websites on purpose, but I didn't tell him - I acted like a dumb of course, even I knew how their system works). The guy said: "An employee must've misspelled your number. That's the reason!" YEAAAHH RIIIIIIIGHT! One of the operators had shut down the service already and the other did on the next day after my report.
Palvelutekstiviestit ovat maksullisia mobiilipalveluita. Ne saattavat helpottaa arkea; esimerkiksi raitiovaunulippu on kätevä tilata tekstiviestillä. Palvelutekstiviestien kääntöpuolena on muun muassa kestotilaukset, joissa kuluttaja vastaanottaa useita maksullisia tekstiviestejä.
Palveluntarjoajaa ei voi aina syyllistää. Kuluttaja tilaa jonkin palvelun, mutta ei lue sopimusehtoja, ja täten hyväksyy palvelun ehdot. Ei ole tietenkään niin yksiselitteistä, että ehdot olisi aina selkeästi ilmaistu palveluntarjoajan toimesta - niiden reiluudesta puhumattakaan.
 |
| Kuva 1. Palvelun ehdot. |
Tekstissä palveluntarjojalla viitataan yritykseen, josta palvelu ostetaan. Operaattorilla mobiiliyhteyksien tarjoajaan kuten TeliaSoneraan.
Ei ole epäilystäkään siitä, etteikö operaattori joutuisi
puimaan palvelutekstiviestiasioita asiakkaidensa kanssa jatkuvasti. On kuitenkin
muistettava, että operaattori hoitaa vain laskutuksen asiakkaan ja
palveluntarjoajan välillä, sekä mahdollistaa erilaisten estoluokkien asetuksen
mobiililiittymille.
Kävin läpi palvelutekstiviestitarjoajia. Moni
palveluntarjoajista on ulkomaalaisia yrityksiä. Keskustelupalstoilta löytyvien
viestien perusteella yhteydenotto palveluntarjoajien asiakaspalveluihin voi
olla haasteellista.
Mielenkiinnon kohteeksi nousi yritys, joka on ottanut käyttöön
hyvin erikoisen toimintatavan asiakkaiden haalimiseen ja tekstiviestien lähettämiseen kuluttajille.
Erikoisen siinä mielessä, että kuluttajien on ollut hyvin vaikea selvittää,
mistä tekstiviestien lähetys on saanut alkunsa.
Aikaisemmin SipVip Oy:nä, sitten Sinelga Oy:nä ja nyt
Krasava Oy:nä tunnettu yritys on toimittanut palvelutekstiviestejä jo vuodesta
2008. Kaksi jälkimmäistä osakeyhtiötä ovat vielä aktiivisena. Jokaisen
yrityksen tiedoista löytyy saman henkilön nimi.
Edellä mainittujen yritysten omistuksessa on ollut ja on edelleen
lukuisia eri verkkotunnuksia, joista suurin osa viittaa aikuisviihteeseen.
Alustavasti verkkotunnuksia löytyi ainakin 162 kappaletta, jotka kaikki vievät
yrityksen ongelmalliselle aikuisviihdesivustolle.
Esimerkkinä palveluntarjoajan rekisteröimiä ei-aikuisviihdeaiheisista sivustoja: “ylilauta.biz”, “ylilauta.info” ja
“ylilauta.mobi” sekä “kuvake.biz” ja “kuvake.info”. Oikeat verkkotunnukset yllämainituille sivustoille ovat
ylilauta.org ja kuvake.net. On melko läpinäkyvää, mikä on ollut verkkotunnuksien
rekisteröintitarkoitus tässä tapauksessa.
Poikkeuksellisen ja ongelmallisen palveluntarjoajan sivuston toiminnasta
tekee se, että välittömästi sivustolle saapumisen jälkeen, saa kuluttaja
mobiililaitteeseensa tekstiviestin. Kuinka tämä on mahdollista?
 |
| Kuva 2. Ensimmäinen tekstiviesti. |
Viesti on harhauttava. Vinkkiä huijauksesta antaa 0700-alkuinen puhelinnumero. Palvelutekstiviestiesto ei estäisi saapunutta viestiä, koska lähteenä on 0700-alkuinen numero.
Sivusto väärinkäyttää palveluntarjoajan ja operaattorin välistä luottamussuhdetta, jota on tarkoitus hyödyntää, jos kuluttaja ostaa jotain palveluita palveluntarjoajalta. Palveluntarjoajalla ja operaattorilla on siis sopimus, jonka johdosta operaattori välittää palveluntarjoajalle asiakkaan puhelinnumeron, jotta asiakasta pystytään laskuttamaan ostoksesta.
Elisa ilmoittaa sivustollaan kaikki palvelutekstiviestejä
tarjoavat yritykset. Sinelga on edustettuna listalla, mutta tiedoissa
mainittu sivusto ei aiheuta automaattista tekstiviestiä kuluttajan
matkapuhelimeen, joka ei sinänsä yllätä.
 |
| Kuva 3. Palveluntarjoaja listattuna Elisan verkkosivuilla. |
Sivustolle mentäessä on toimintaperiaate aina sama. Jokaisella sivulatauksella generoidaan uid, joka muodostuu kirjaimista ja numeroista. Sekä uid että myös muita parametreja lähetetään Elisan MBGW:lle (Mobile Billing Gateway):
http://sinelga.mbgw.elisa.fi/serviceurl?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&site=kuvake.biz&resource=mobiledesk&themes=adult&provider=elisa
Käytettäessä jotain muuta kuin Elisan mobiililiittymää,
saadaan vastauksena “HTTP 403 Forbidden”.
Seuraava pyyntö lähetetään kohti palveluntarjoajan
yhdyskäytävää:
http://ippayment.info/scanip?id= xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&&site=kuvake.biz&resource=mobiledesk&themes=adult&callback=angular.callbacks._0
Vastauksena saadaan seuraavaa:
angular.callbacks._0({"msisdn":"","provider":"MobileElisa","success":true});
Kuten pyynnöstä saadaankin jo vinkkiä, tarkastetaan nyt sivustolla vierailevan ip-osoite. Palvelinpuolen skripti vertaa vierailijan ip-osoitetta Elisan ja
Soneran mobiiliverkkojen ip-osoitealueisiin. Tämän perusteella saadaan
selville, onko vierailijalla tuettu operaattori käytössä.
Soneran ja Elisan toteutukset liittymänumeron välittämiseen eroavat hieman toisistaan. Soneralla on lista web-sivustoista, joita kohti liikennöidessä liittymänumero lisätään HTTP-pakettiin. Tämä on täysin näkymätön toimenpide käyttäjälle. Elisan ratkaisussa liikennöidään kohti maksuyhdyskäytävää, jolloin liittymänumero lisätään HTTP-pakettiin. Käyttäjän on mahdollista havaita tämä liikennöinnissä.
Noin viikko ensimmäisen viestin jälkeen, saapuu uusi viesti.
 |
| Kuva 4. Toinen tekstiviesti. |
Toisesta tekstiviestistä käy ensimmäistä kertaa ilmi, että kyse
olisi jostain mobiilitilauksesta.
Toisen tekstiviestin saapuminen tarkoittaa myös sitä, että
palvelu kerää puhelinnumerot talteen. Palvelinpuolen lähdekoodia
tarkasteltaessa käy ilmi, että sivustolle mentäessä vierailijan puhelinnumeroa
verrataan numerotietokantaan. Jos numeroa ei löydy, lähetetään käyttäjälle
ensimmäisen kaltainen tekstiviesti. Tämän vuoksi on mahdollista saada vain yksi
tekstiviesti, vaikka vierailisi usealla palveluntarjoajan sivustolla.
 |
| Kuva 5. Lähdekoodia. |
Ja taas viikon kuluttua saapuu uusi viesti.
 |
| Kuva 6. Kolmas tekstiviesti. |
Jotta tekstiviestien tulon saa päättymään, on yleisestikin suositeltavaa olla yhteydessä suoraan palveluntarjoajaan.
Hakukoneen kautta löytyneiden tuloksien perusteella yrityksen
tekstiviestitilauksen peruminen on onnistunut ainakin sähköpostitse. Helpoin ja
vaivattomin vaihtoehto varmasti on kuitenkin vain vastata toiseen viestiin
“loppu”. Ajattelin testimielessä kokeilla sitä vaihtoehtoa. Mainittakoon tässä vaiheessa, että saapuneista tekstiviesteistä ei ole kuitenkaan veloitettu missään vaiheessa.
Päättäessä palvelu loppu-viestillä, tulee paluuviestinä
ilmoitus palvelun päättämisestä. Eli siis palvelusta, jota ei koskaan oltu tilattu.
Ihmeellisintä asiassa on se, että tekstiviestistä veloitetaan kaksi euroa.
Viestissä ilmoitettu “2e” tosiaankin tarkoittaa, että palvelun lopetus maksaa
kaksi euroa.
Monelle saattaa olla helpotus, kun on saatu irtauduttua
palvelusta ja tekstiviestien tulo on saatu päättymään. Kaksi euroa voi olla
joillekin pieni summa siitä. Tällä tavoin kuitenkin kerätään rahaa
vierailijoilta, jotka eivät ole minkäänlaista palvelua koskaan tilanneet.
Testailin vielä loppu-viestin lähetyksen jälkeen vierailua eri sivustoilla. Uusia tekstiviestejä ei tullut. Tämä tarkoittaa siis sitä, että puhelinnumeroni on vielä tietokannassa, koska muutenhan saisin ensimmäisen tekstiviestin uudestaan. Spämmi on nyt pysäytetty, mutta puhelinnumeroni jäi palveluntarjoajan haltuun. Ja kuka tietää, minne se sieltä matkaa.
Halusin kuulla, kuinka puhelinnumeroni on joutunut palveluntarjoajan listalle, koska en ollut sitä heille itse antanut. Soitin palveluntarjoajalle (P=palveluntarjoaja):
- No hei! Onko Krasava Oy:ssä?
P: On.
- Olen saanut jatkuvasti häiritseviä tekstiviestejä ja asiakaspalvelu sanoi, että ne tulis teiltä.
P: Niin vois olla. Tarvitsen teidän puhelinnumeron, että pystyn poistamaan sen.
- Xxxxxxxxxx
P: Poistan saman tien, anteeksi vain.
- Näkeekö sieltä, että onko liittymälle tullut laskua?
P: En minä.
- Mitenhän tämä numero on joutunut teidän listalle?
P: Ilmeisesti on tapahtunut näppäilyvirhe. Ei ole muuta vaihtoehtoa.
- Anteeksi kuinka?
P: Ilmeisesti on tapahtunut näppäilyvirhe, kun työntekijä laittaa numerot käsin.
- Ahaa. Mistä työntekijä on sitten saanut nämä numerot?
P: No, mmmm… No jos asiakkaat antavat numeronsa, kun he haluavat, että heille soitetaan takaisin.
- Itse en ole antanut kyllä numeroani mihinkään.
P: On tapahtunut näppäilyvirhe. Voit lähettää manager@krasava.fi, jos teitä on veloitettu. Palautamme saman tien rahat.
- Olitkos sinä siis Grigori?
P: Joo.
- Kaveri tiesi kertoa, että kun menin tällaiselle sivulle vahingossa kuin “perseeseen.fi”... niin tämä on sinun sivusi?
P: No mä en nyt muista.. ei oo mun. Olen vain työntekijä.
- Okei, eli sinä et siis tiedä tuosta mitään. Selvä juttu. Ja enää ei tule viestejä minulle?
P: Ei, ei.
- Selvä. Kiitoksia hei.
 |
| Kuva 7. Whois perseeseen.fi |
Kuten jo aiemmin mainittu, toiminta on erittäin ongelmallista kuluttajan näkökulmasta, koska siinä hyödynnetään operaattorin apua. En usko, että yksikään operaattorin
asiakaspalvelija uskoo asiakasta, joka sanoo saaneensa tekstiviestejä pelkän web-sivustolla vierailun johdosta.
Kuluttaja siis käytännössä pakotetaan etsimään tietoa, että
mistä tekstiviestit ovat peräisin, kun sivustollakaan ei mainita palveluntarjoajasta mitään. Tästä voi koitua kuluja, mutta ainakin vaivaa ja vitutusta.
Testaukset suoritettiin Saunalahden ja TeliaSoneran
liittymillä. TeliaSoneran liittymällä en onnistunut saada tekstiviestejä. Lähdekoodi
kuitenkin viittaa vahvasti siihen, että TeliaSoneran liittymät ovat tuettuina.
Lisäksi onnistuin todentamaan, että palveluntarjoajan palvelin lukee X-UP-CALLING-LINE-ID-otsakkeen
liikenteestä.
Olin asian osalta yhteydessä TeliaSoneralle ja Elisalle.
TeliaSonera ilmoitti sulkeneensa yritykseltä palvelun käytön viime syksynä.
Tämän vuoksi en siis saanut viestejä. Elisa otti ilmoituksen jälkeen asian tutkintaan ja päivää myöhemmin sulki palvelun. Puhelinnumeroiden kerääminen oli siis mahdollista vain TeliaSoneran ja Elisan verkoissa.
Vastaavilta ongelmilta voi suojautua käyttämällä VPN-yhteyttä, joka muuttaa päätelaitteen ip-osoitteen. Se myös estää operaattoria käpälöimästä liikennettä. Tietysti olisi toivottavaa, että jonkinlaista valvontaa tehtäisiin operaattorillakin tällaisten palveluiden suhteen.
Jos olet saanut tekstiviestejä Krasavan tai Sinelgan
nimissä, voit olla heihin yhteydessä ainakin seuraavasti:
Esimerkkejä puhelinnumeroista ja tekstiviesteistä:
179019
070095462
070095943
“Soita! Miia. Puh. 070095943”
“Hei, ootko unohtanu mut? Jos et halua enää viestittelyä kanssani, lähetä viesti loppu. Krasava 2e.”
070095462
070095943
“Soita! Miia. Puh. 070095943”
“Hei, ootko unohtanu mut? Jos et halua enää viestittelyä kanssani, lähetä viesti loppu. Krasava 2e.”
“On aika tutustua! Soita nyt. Miia. 070095943”
“En ole nähnyt sinua pitkään. Minulle on tullut ikävä.
Soita! Miia” 070095943
//Päivitetty teknistä selostusta 24.1.2016
//Päivitetty teknistä selostusta 24.1.2016
No comments:
Post a Comment