Frodi di fatturazione diretta tramite operatore telefonico con clic singolo

2

Un mio amico aveva appena fatto quanto segue:

  1. Ha visitato un sito Web con il telefono cellulare utilizzando Chrome Mobile su Android
  2. È stata visualizzata una pubblicità che copriva l'intera pagina
  3. Non c'era un pulsante di chiusura, e mentre si scorreva l'annuncio, avrebbe potuto fare clic su un pulsante
  4. Subito dopo, ha ricevuto un SMS da droidboost che gli sarà addebitato 4,99 € per un abo di droidboost.

Nota come c'è solo un'interazione con un singolo utente lì, facendo clic sul pulsante. (Secondo quanto riferito, ha solo scrollato, ma non riesco a eleminare la possibilità che possa aver accidentalmente cliccato su un pulsante, dato che accidentalmente registrando sul touchscreen può accadere facilmente)

La mia domanda è ora, come può essere possibile? È possibile che un sito Web invii un SMS o acceda al numero di cellulare del telefono visitando questo sito Web, utilizzando JavaScript o simile? Avrei pensato che un'azione del genere non fosse possibile attraverso un browser web mobile.

Ho già controllato con link che il dispositivo mobile non sta inviando il suo numero di telefono nelle intestazioni delle richieste.

    
posta bennofs 01.01.2016 - 13:29
fonte

1 risposta

4

Si chiama arricchimento dell'intestazione HTTP. L'MSISDN (numero di cellulare) viene inserito nell'intestazione quando l'operatore raggiunge un URL autorizzato dall'operatore. Non visibile tramite link .

Il pagamento a sorpresa è stato effettuato tramite qualcosa chiamato clickjacking (google per ulteriori informazioni).

Fondamentalmente il tuo amico ha bisogno di lamentarsi con l'assistenza clienti dell'operatore e l'operatore farà un chargeback (rimborso), il tuo amico potrebbe ancora essere in grado di accedere al servizio "Droidboost" per un breve periodo.

Per qualche ragione suppongo che tu venga dalla Germania, quindi Vodafone, T-mobile, E +, O2 (qualunque operatore / operatore) probabilmente vieteranno al cliente di accedere alle sue API di pagamento. Speriamo che impongano anche il divieto di alcune aziende che utilizzano le loro API di pagamento "acquistando traffico", ieg Google AdWords.

@ André Borie, 1 gen. 13:20  - Il problema non è il metodo di fatturazione effettivo, il problema è ovviamente quali aziende e servizi l'operatore concede l'accesso alle proprie API di pagamento. In precedenza il metodo di fatturazione è stato utilizzato da aziende spazzatura nel genere del porno, della suoneria e dello sfondo. Ora Google, Microsoft, Apple, Amazon, Spotify, Sony, LG, Samsung e altri stanno completando la copertura globale nei canali di pagamento operatore / operatore.

    
risposta data 10.03.2016 - 17:19
fonte

Leggi altre domande sui tag