CFM VAS i generalno Value Added Services prevare i obmane na mobilnim operaterima
#1
Od kad mi je neko blizak prevaren od strane CFM VAS gluposti imao sam ideju da istražim o čemu se tu zapravo radi, danas sam naleteo na reddit objavu koja lepo ilustruje problem sa ovim "uslugama" pa ću objaviti ovde sve šta imam. Razdvojiću u više odgovora ovaj thread, počev od ovog najaktuelnijeg slučaja, tj. reddit teme:

tema sa reddita je: CFM VAS prevara              arhivirano

glavni deo sa reddita je u ovom skrinšotu:

   

CFM je skraćeno od imena firme koja je odgovorna za ovaj sajt, tj. skraćenica od "CONTENT FOR MOBILE" ali o njima ćemo kasnije...

Na reddit temi glavna stvar je ta što kada se preko moblnih podataka Yettel mreže pristupa stranicama za prijavljivanje na CFM "usluge", automatski se popunjava broj telefona koji treba da se pretplati, otkrivajući da je Yettel u koluziji sa CFM prevarantima, ili im omogućava pristup ličnim podacima korisnika u službi olakšavanja obmane i prijave za "usluge".  Ovde se deca na primer lako upecaju, kao i stariji ljudi koji ne znaju šta se dešava, veoma je lako "upecati" se bez predstave šta će zapravo da se desi i da će nešto biti naplaćeno i još da će nastaviti da se naplaćuje mesečno.

O tome sam pisao danas na twitteru ovde tj. preneo sam informacije sa reddit teme i malo proširio priču.

Ovako izgleda prvobitna stranica za prijavu:

   

U analiziranju preko developer tools u browseru sam primetio da u trenutku kliktanja na Nastavi jedan zahtev je poslat na poddomen kod telenordigital.com:

   

ako se ode na telenordigital.com preusmeri na telenorlinx.com gde se vidi da je to neki digitalni servis za provajdere:

   

moguće je da kroz ovo dolazi do deljenje broja telefona sa CFM-ovim sajtom, ali nemam nikakvih konkretnih dokaza.

Ovakvo deljenje podataka od strane Yettela nije nigde pokriveno njihovim njihovim uslovima "Kome prosleđujemo podatke o ličnosti naših korisnika" koji se nalaze na https://www.yettel.rs/sr/o-yettelu/obave...-korisnika tako da em krše zakon em krše sopstvene uslove koje su korisnici prihvatili.

U raznim odgovorima na moj tvit smo dobili snimak kako je sa Yettel mreže broj popunjen a sa drugih nije. Saznali smo da se isto dešava i na drugim provajderima,

Gledajući Pravilnik o obavezama operatora usluga sa dodatnom vrednošću dolazimo do toga da su prekršeni sledeći:

Quote:Član 13 - Najava cene poziva, početak naplate i naplata Usluge
Kod pružanja Usluga koje se ostvaruju slanjem/primanjem poruka, operator Usluge ima sledeće obaveze:
1) slanja poruke korisniku Usluge, a pre aktiviranja usluge, kojom se korisnik obaveštava o ceni Usluge (uključujući i informaciju o naplati troškova slanja same poruke), učestalosti primanja poruka i načinu prekida korišćenja Usluge;

3) aktiviranja usluge tek nakon što korisnik Usluge potvrdi nameru korišćenja usluge slanjem odgovarajuće poruke i potvrdi da je saglasan sa uslovima pružanja Usluge;

Ovde bi za #1 verovatno napravili argument da sve piše na stranici za prijavu, ali da li je to "slanje poruke korisniku"? Za #3 nemaju argument, jer se ne šalje nikakva poruka nego se klikom na sajt automatski naplaćuje usluga i korisnik prijavljuje, što je u suprotnosti sa pravilnikom

Quote:Član 16 - Sadržaj oglasa za Uslugu
Uz svaki oglas za Uslugu objavljen u javnim glasilima potrebno je objaviti naziv, punu adresu sedišta i matični broj Operatora Usluge, kao i telefonski broj za kontakt sa Operatorom Usluge koji ne sme biti iz kategorije brojeva sa dodatom vrednošću.

Jedini kontakt je "kontakt za podrsku pruzanju usluzi: 0113216892 ili gamecraze.rs @ silverlines.info" što ne sadrži ni adresu ni matični broj.

Quote:Član 21 - Zaštita maloletnika
2) uključivanje, pre početka pružanja Usluge, izjave da Usluge pružaju sadržaj isključivo namenjen odraslima (npr. "Ako imate manje od 18 godina, a nemate dozvolu roditelja/staratelja, odmah prekinite poziv");
3) utvrđivanje starosti korisnika pre početka pružanja Usluge (npr. potvrda starosnog statusa korisnika - maloletnik mlađi od 12 godina, maloletnik mlađi od 16 godina, punoletna osoba).

Ovo ni u jednom trenutku nije ispoštovano

Dolazimo do toga da imamo mnoštvo prekršaja, od protivzakonitog deljenja podataka o ličnosti od strane Yettela, do kršenja samog pravilnika o ovakvim uslugama od strane CFM-a i njihovog omogućavatelja u Srbiji... u sledećoj poruci pišem o akterima ove obmane...
Reply
#2
Malo o akterima ove obmane u Srbiji...

CFM ili "C.F.M. CONTENT FOR MOBILE LTD" je firma sa Kipra, reg. Number ΗΕ 380680 https://cyprusregistry.com/companies/HE/380680

Sajt im je contentformobile. net

Direktor u registru je STELLA PANAGIOTOU, a adresa firme je:
Dimitsanis
24A Kato Polemidia
4156 Limassol
Cyprus

Naravno ovo je samo shell kompanija i na toj adresi je registrovana gomila firmi koje uopšte tu ne posluju, a Stella je advokat ili šta je već, drži firmu za registrovanje drugih firmi na Kipru i prikrivanje pravih vlasnika. Sve je to legalno naravno zato su i firme sa kipra famozne za prikrivanje pravih vlasnika.

U uslovima na sajtovima pod okriljem CFM (na primer https:// www. gamecraze.online/sr-rs/terms) uglavnom piše "Slažete se da će se usluga koju pruža CFM smatrati isključivo pruženom i sa sedištem na Kipru, a da će se usluga smatrati pasivnom mrežnom lokacijom koja ne dovodi do lične nadležnosti nad CFM-om, bilo posebne ili opšte. Bilo koji spor koji se pojavi između vas i CFM-a rješavaće se kiparskim zakonima, bez obzira na sukob zakonskih odredbi, i vi pristajete na isključivu ličnu nadležnost i mesto održavanja."..

Ali da li imamo neko pravno lice u Srbiji kome se možemo obratiti i potencijalno doći do pravde? Naravno da imamo...

U Srbiji koliko sam uspeo da otkrijem SVI međunarodni (a možda i domaći?) VAS servisi naplaćuju svoje "usluge" i služe se podrškom preko jedne firme a to je NTH MEDIA DOO sa sajtom nth .rs i adresom Булевар Михајла Пупина 6, спрат 19., 11070 Нови Београд. Javni podaci iz APR-a ukazuju da je zakonski zastupnik je Бењамин Ковачић, kontakt podaci +381 11/408-60-85 Faks +381 11/3110-445 a email backoffice @ nth-media.com. Firma je u 100% vlasništvu Švajcarske firme NTH Holding Ltd. (NTH Holding AG) (NTH Holding SA) www. nth .ch

U RATEL registru za ovu firmu stoji, između ostalog, da imaju dozvolu od 2012. godine da se bave ovim "uslugama":

   

Zanima nas ovde konkretno Телефон за приговоре: 0113216815
Е-маил за приговоре: customer.care @ ccsupport.biz, customer.care.srb @ silverlines.info

koji nam govore da su oni odgovorno lice za sve te obmane i prevare, jer na skoro svim sajtovima stoji njihov e-mail tj. e-mail na domenu @silverlines.info kao kontakt za podršku, kao i neki njihov broj telefona, najviše 0113216892

Neki od sajtova koje sam pronašao a koje NTH "opslužuje":

https:// rs.esrlive .com/
https:// www. gamecraze .online/sr-rs/
https:// www. gr8games .club/sr-rs/
https:// funtexticlands .com/general/rs/pin/lp1_rdfsic/
http:// rs.igrajigre .co/lp

nisu svi vezani za CFM sa Kipra, ima tu i neka firma sa Malte i iz Hong Konga, ali zajedničko im je da svi idu preko domaćeg NTH-a. Imamo i činjenicu da su "usluge" koje ovi sajtovi nude jedna obična glupost koja apsolutno nikome ne treba u 2023. godini gde ovakve glupave "igrice" mogu da se besplatno igraju na razne načine. Ili ovaj esrlive sajt koji nudi nekakve strimove pokradene sa drugih lokacija gde može da se gleda besplatno. Apsolutne gluposti koje ih ne koštaju ništa, na kvarni način uvaljene ljudima i ozbiljno naplaćene. Uglavnom najosetljiviji padaju na ovo naravno, penzioneri sa slabim primanjima i slabim tehničkim znanjem i mala deca koja jednostavno ne znaju i lupaju prstima po ekranu bez da su svesni šta rade. Vekovna odlika prevaranata je da ciljaju ugrožene i lakoverne ljude, što je ovde i više nego očigledno.


Imamo takođe razne forumske sadržaje na temu ovih prevara:

https://forum.benchmark.rs/threads/sms-v...ra.376678/

https://www.reddit.com/r/serbia/comments...se_nekome/

https://www.reddit.com/r/serbia/comments...roja_4444/

https://forum.benchmark.rs/threads/vip-g...am.376400/

https://sr-rs.facebook.com/bogoslovija.s...700220132/

EDIT: Da dodam i ovu obrisanu temu sa reddita: "Jedna od najvećih(i najgorih) mobilnih prevara na balkanu." ali imam i obrisan tekst:

   


Mediji su takođe prepuni priča o ovim prevarama što dovodi u pitanje zašto je ovo uopšte dozvoljeno kada je toliko očigledno štetno i toliko ljudi se pati sa ovim glupostima??? Jer naravno neko ubira ozbiljan profit od ovoga...

https://bizlife.rs/vas-sms-usluge-mts-telekom-srbija/
https://telesrbija.com/sta-su-vas-sms-pr...nog-racuna
https://rtv.rs/sr_lat/drustvo/korisnici-...24075.html
https://potrosackisavetnik.com/sms-poruk...80-dinara/
https://24sedam.rs/biznis/finansije/1817...klika/vest
https://pcpress.rs/sms-prevare-napad-na-...ski-racun/


A NTH pravi probleme i po Hrvatskoj...

https://www.reddit.com/r/croatia/comment...e_scameri/
https://forum.a1.hr/tarife-racuni-i-uslu...obile-8252

U sledećoj poruci ću opisati slučaj koji se desio nekom koga poznajem...
Reply
#3
Pogledao sam video https://twitter.com/alexxsegedi/status/1...7860880384, i koliko vidim pojavljuje se arc.dob.telenordigital.com pa onda dob.payment.io. To je definitivno ova usluga: https://www.telenorlinx.com/direct-carrier-billing/, a kroz nju i ova: https://www.telenorlinx.com/id/.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#4
A ovde, si sakrio ove vrednosti kao što je contract_id, jer vidiš da su to tvoji podaci?

[Image: attachment.php?aid=729]
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#5
(03-15-2023, 09:10 PM)1van Wrote: A ovde, si sakrio ove vrednosti kao što je contract_id, jer vidiš da su to tvoji podaci?

nisu, to je nekakav contract_id broj, nema tu ništa lično moje, ne znam da li inkrementuje taj broj svaki put kad se ponovo neko poveže nisam išao toliko duboko u priču. Pogledao sam celu razmenu preko developer tools i imam sve sačuvano ali nisam našao ništa identifikujuće niti video kako dolaze do broja telefona, jedino sumnjam u taj telenordigital.

Kada sam na yettelu ima dve razmene sa telenordigital u developer tools network tabu, kada nisam na yettelu ima samo jedna, tako da kontam da je ta jedna neki zahtev koji se vrati prazan jer nisam na yettelu, a onaj drugi nešto iskomunicira jer jesam, ali tačno šta kako i gde to ode ne znam niti vidim bilo šta korisno u razmeni koju ja vidim, možda se šalje direktno drugom sajtu bez da prođe kroz mene zato ništa ne vidim. Mogu i da probam sa proxijem ali nisam siguran da li ću išta korisno otkriti
Reply
#6
Poslednje što imam za sada je kako se neko koga poznajem upecao na jednu prevaru od CFM-a. U pitanju je bio sajt https:// rs.esrlive .com/ gde se prikazuju kojekakvi snimci video igrica. Osoba koja je "nasela" je penzioner i ne zanimaju ga nikakve igrice niti je bio svestan šta se dešava. Priznajem da osoba nije baš tehnološki pismena i da često kada je nešto nepoznato na ekranu ume da udara prstom gde god samo da se skloni, te se tako verovatno i prijavio na ovo sranje. No, pošto sam imao pristup uređaju mogao sam malo da istražim šta se desilo...

Pretpostavljam da se oglas pojavio i bio kliknut u Blic aplikaciji za Android, ovo je trag koji je ostao u trenutku kada je usluga naplaćena:

   

U istom trenutku stiže SMS da je usluga naplaćena:

   

U Yettel aplikaciji se usluga naziva "DOB-International" ili kasnije kad je transakcija stornirana zvala se "DOBIR". Ovo ime naravno ništa živo ne znači korisniku tako da nema pojma na šta se uopšte pretplatio. Možda je tako namerno, jedino sa čim je povezano je sajt za pribavljanje saglasnosti dob.payment .io koji se vidi u prvoj slici ovde. Ovaj sajt učestvuje i u pribavljanju "saglasnosti" na gamecraze koji je predmet prve poruke ovog threada, a verovatno i za druge "usluge".

   

Kako je izgledao zahtev na dob.payment .io sajt:

Code:
https://dob.payment.io/v2/purchase/consent?redirect=true&amount=500&signature=XXXX&merchant=Esrlive&denyUrl=https://wires.orsedd.com/wires/357/resume/XXXX?contract_id=XXXX&trace=true&referenceId=XXXX&errorUrl=https://wires.orsedd.com/wires/357/resume/XXXX?contract_id=XXXX&trace=true&subscriptionPeriod=P1M&partner=cfm&currency=RSD&partnerId=cfm&okUrl=https://wires.orsedd.com/wires/357/resume/XXXX?contract_id=XXXX&trace=true&operatorId=TLN-RS&productDescription=ESR Live - one month subscription&timestamp=XXXX&encryptedAcrFromHe=XXXX&encryptedMsisdnFromHe=XXXX&origin=CONSENT_CREATE

Ovo je starije pa je /v2/ sada sam primetio da je na /v3/ za današnje "saglasnosti" pa su nešto sigurno promenili

Nekoliko dana kasnije je preko SMS-a usluga odjavljena i podneli smo prigovor Yettel-u gde su odobrili povraćaj novca uz reči "dobili smo odobrenje od inostranog provajdera za umanjenje iznosa od 500,00 dinara"

Nakon još jednog prigovora Yettelu u pokušaju da izvučem još neke informacije uglavnom su ukazali da je povraćajem novca za njih to završena priča, i otkrili da su upoznati metodologijom prevare:

   

Pop-up prozor kao omiljeni alat prevaranata, ne postoji legitimna usluga koja pribavlja korisnike putem pop-up prozora. Dodgy
Reply
#7
(03-15-2023, 10:17 PM)milos_rs Wrote: Kada sam na yettelu ima dve razmene sa telenordigital u developer tools network tabu, kada nisam na yettelu ima samo jedna

Da li možeš molim te da ostaviš ovde sva tri zahteva, sa sve response?

(03-15-2023, 10:17 PM)milos_rs Wrote: subscription&timestamp=XXXX&encryptedAcrFromHe=XXXX&encryptedMsisdnFromHe=XXXX&origin=CONSENT_CREATE

A ovde se vidi da zapravo razmenjuje tvoj broj sa nekim. Da li sećaš kada se tačno inicirao ovaj korak?
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#8
> A ovde se vidi da zapravo razmenjuje tvoj broj sa nekim. Da li sećaš kada se tačno inicirao ovaj korak?

vidiš, nisam znao šta je MSISDN ali sad sam naučio nešto novo Smile Taj link je od starog pecanja koje se desilo još prošle godine, imam samo taj URL koji sam izvukao sa uređaja gde se desilo, nemam ništa drugo ali znam da je to ona poslednja stranica za davanje saglasnosti, posle koje si pretplaćen i naplaćeno ti je.

Ovo se i sada dešava kada se ode na gamecraze sajt pa se klikne na Nastavi, on onda proveri nešto preko telenordigital-a i otvori stranicu na dob.payment.io za davanje saglasnosti, samo što sada otvara /v3/ koji nema ove parametre koje je imala /v2/ jer su verovatno to zamenili iz nekog razloga. Sada taj link izgleda ovako:

Code:
https://dob.payment.io/v3/consent?errorUrl=https://wires.orsedd.com/wires/335/resume/NEKIBROJ1?contract_id=NEKIBROJ2&trace=true&token=TOKEN-TOKEN-TOKEN-TOKEN-TOKEN
Reply
#9
(03-16-2023, 08:34 AM)1van Wrote: Da li možeš molim te da ostaviš ovde sva tri zahteva, sa sve response?

Na žalost ničemu ne služi jer ne koriste request/response za komunikaciju, tu nema ništa korisno, to su verovatno namerno tako zamutili, a ko se uobičajeno tako krije? Pa prevaranti naravno.

Ali evo kako izgleda niz, primetićeš da u content-length nema ništa osim za fotografije i neke gluposti:

   
Reply
#10
Evo još malo zanimljivosti, ovo je otkrio OP teme sa reddita i poslao mi na twitteru, stavljam sa njegovim odobrenjem...

Njega je zanimalo šta je ovaj orsedd.com koji se javlja kao API koji koriste CFM sajtovi...

view-source:https://www.gamecraze.online/sr-rs/login
window.orsedd_host="private-api.orsedd.com";

[Image: GyeEwuuQnpMEfGK9imceC4boiX2rKuRFVzy1BZws...6HncdEopZg]


[Image: hMlZ4rVJAYWvD_-_T-wopagFjMVAArHXSg9ezlkK...vnsSxZSz6Y]

[Image: J5-iWTgR-cDftjr0V5Bu7VYwgMjiCvD1xisvuxU4...ObgzaV3lt0]

[Image: z7c-7klHUz7TG6aa870n2sEsQaOAH-DWsQM_nOGz...9AdrpVq_QM]

Na archive.org se na ovom sajtu pojavljuje druga firma 2016-2017. godine...

[Image: nf5BEjO8D2qF-IWkLSigKu0_qUh7DhrL_855xWsa...4rk-oJ8GA8]


[Image: 3_79npFvQKUb188zjokYulBLQtcEyuG8BZ8wwgeQ...6ZEGNMOG6w]

Uspeo je da nađe raniju verziju API-ja :
.zip   osreddcom-API.zip (Size: 61.56 KB / Downloads: 83)

Našao je u APIju da su tada koristili Data247 plugin ("Orsedd:: Plugin:: Data247:: Data247Handler") koji je "Wrapper class for Data24-7 mobile operator detection based on msisdn.", nalazi se na https://github.com/Govannon/data247 i napravili su ga ovi Govannon konsultanti, verovatno koristi https://www.data247.com/services/carrier-lookup kao servis za pretragu brojeva telefona i kom provajderu pripadaju.

O Govannon-u, verovatno neki nezavisni konsultanti koji su plaćeni da nešto naprave, da li imaju bilo kakve veze sa CFM-om i ovim uslugama osim tehničke prirode ne znam:

https://govannon.nl/contact

[Image: JeGzIvgyz0fMTJR52tJbbLCLNPx7nh-eLYyWNkMZ...NOKtNhe-ww]


Takođe nevezano za to, evo još jednog sajta za "usluge" https:// rs-prizejack .com/ ovaj put iz Holandije

   

Primeti se da i oni grubo krše Pravilnik o obavezama operatora usluga sa dodatnom vrednošću:

Quote:Član 15 - Opšta pravila za oglašavanje Usluge
Zabranjeno je obmanjivanje korisnika Usluge pružanjem pogrešnih, nepotpunih ili drugih netačnih informacija koje ga mogu dovesti u zabludu, kao i prikrivanje informacija koje su korisniku potrebne za donošenje odluke o korišćenju Usluge.

a oni pišu "Унесите број свог мобилног телефона у наставку да бисте добили јединствену шифру:" kao da se ne naplaćuje, a na dnu stranicu u najsitnijim mogućim slovima piše da usluga košta.

Quote:Član 12 - Obaveštenje o ceni Usluge
2) cena bude napisana fontom koji je po veličini, boji, obliku i pozadini identičan fontu telefonskog broja za pružanje Usluge (ako se objavljuje u štampanim ili elektronskim medijima);

Krši i druge odredbe pravilnika naravno. I ovde je "pružalac tehničkih usluga" NTH Media d.o.o Beograd.
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)