Esta mañana estaba navegando por internet con mi teléfono (un Nexus 6P con todas las actualizaciones de android instaladas) cuando de pronto la página (una conocida página de torrents) ha abierto una nueva pestaña con publicidad (bastante típico y cansino).
El caso es que se me ha abierto la típica página que simula ser Vodafone (logos de vodafone y todo incluídos) y que empieza a vibrar el móvil, a abrir popups etc etc. He ido a cerrar la página, pero antes de poder cerrarla el navegador entero a explotado y se ha cerrado, incluyendo todas las pestañas que tenía abiertas.
No le he dado mucha importancia, tampoco es que chrome en Android sea a prueba de balas.
Al cabo de 1 minuto después de la página maligna que se hacía pasar por Vodafone y que ha hecho reventar todo mi navegador, recibo un SMS de Vodafone que me dice que he activado el servicio de Tono de espera y que puedo cambiarlo cuantas veces quiera, que es tarifa plana.
Evidentemente yo no he activado nada, ni aceptado nada, ni descargado nada, ni nada. Solo quería comprobar si había salido cierto capítulo en torrent, para ponerlo luego a bajar en el ordenador.
Llegados a este punto, creo que es relevante aclarar que me dedico a la seguridad informática, por lo que soy especialmente precabido con los sistemas que utilizo, evidentemente no instalo APK de terceros ni tengo esa opción habilitada en mi teléfono, estoy siempre pendiente de los parches de seguridad y blablabla.
Despueś de hacer un poco de análisis forense de mi teléfono, para entender que es lo que ha pasado y no encontrar nada relevante, decido que mejor llamar ya a Vodafone y preguntar.
Llamo al 123 y después de pelearme un rato con sus grabaciones y robots que creen entender español pero entienden lo que quieren, consigo hablar con una chica muy amable de sevilla.
Le insisto en que yo no he activado nada, que me dedico a la seguriad informática, que mi teléfono no lo toca nadie, y que me ha salido una página malvada que imita a vodafone, que blalblabla.
La chica muy amable me dice que todo puede ser, que no lo sabe. Que ella me lo desactiva y me devuelve los 79 centimos que costaba ese servicio.
Me he quedado bastante sorprendido que solo entrando a una web te puedan activar un servicio de pago. Todavía estoy pensando si ha sido algún tipo de bug en chrome para android, si ha habido explotación, si el crash ha tenido algo que ver...
Buscando por internet me encuentro que es algo MUY habitual, que a la gente la tachan de loco y le dicen que seguro que lo ha activado el y cosas así. Estoy intentando reproducirlo para grabar un video.
¿Alguien sabe en que consiste el fallo?
anonadado me hallo
Comentarios
Yo creo que tiene que ver con esto (en este caso Movistar) y el uso de x-headers con identificador único.
https://www.internautas.org/html/9429.html
Resumo: no lo he investigado mucho, pero por lo que entendí de la noticia, se pueden usar cabeceras con identificadores únicos por usuario, de forma que "puedas suscribirte fácilmente a servicio premium..."
Vodafone ni con un palo
#3 #4 #5 Dios me libre de defender a Vodafone. Pero la estafa, según la cuenta el propio #0, no es cosa de vodafone sino probablemente de un bug en chrome que utiliza el malware para dar de alta un servicio.
Sería más culpa de la página de torrents por financiarse con esos "patrocinadores".
#7 entiendo que la web cobra por la "publicidad" de esos malwares.
#9 aún así, Vodafone ni de broma
#9 Bueno, es Vodafone el que beneficia directamente, el primer interesado pues el fin es contratar un servicio suyo. ¿Cómo no va a ser culpable?
#42 el servicio de terceros se factura a través de Vodafone pero el dinero no es para Vodafone.
#43 No obstante eso lo hace responsable tanto del servicio como del modo con el que se activa. Ofrecen servicios de terceros y para ello utilizan tus datos, tu cuenta y en definitiva tu relación con ellos como cliente, eso con un mínimo de ética debe ser suficiente para que sean responsables.
#3 Coincido. En Vodafone son unos ladrones. Una reputación que se han ganado a base de robar.
Los clientes de Vodafone están estafados desde que se dan de alta...
La parte de Vodafone que me preocupa es que después de llamarles, me han dicho que una vez tienen tu número de teléfono, te dan de alta sin mas. Así de simple, vodafone delega en terceros que aceptes o no el servicio.
Podrías coger cualquier teléfono de tu agenda, crearte un servicio premium y darlos de alta sin problemas. Vodafone no pide ningún tipo de firma ni nada.
#23
Tú puedes pensar lo que quieras pero eso que hace Vodafone también lo hace Movistar y seguramente cualquier otra compañía de telecomunicaciones.
Claro, y como lo hacen otros operadores eso hace menos grave que lo haga vodafone, es el clásico argumento del 'y tu mas'
Y cuando tú, que te dedicas a la seguridad informática, pones el título "Estafa a clientes de Vodafone" lo que estás haciendo es simplificar el problema y dar ánimos a la gente que llama por teléfono y dice "yo no he tocado nada, sois unos ladrones y unos hijos de puta" al teleoperador que le está explicando "hay páginas web que te suscriben a esos servicios, te doy de baja ahora mismo y pongo una reclamación para que te devuelvan el dinero".
Yo estoy denunciando una situación preocupante que he observado en primera persona, una situación de robo de datos por parte de ciberdelincuentes que luego monetizan usando servicios de vodafone.
Y si, si eso le está pasando a otra gente, les doy muchos animos para que llamen inmediatamente para quejarse, ¿por que no?
De hecho, en mi caso yo no he hecho nada mas que entrar a una web y un exploit (que técnicamente es muy interesante, pero eso es otro tema) me ha robado cierta información que normalmente mi navegador no debería exponer. Sin embargo, aunque alguien entre a una web y ponga su teléfono (que nadie debería hacerlo), eso no debería ser suficiente para empezar a cobrarle y de nuevo, si eso sucede les animo a llamar.
Que parece que has descubierto la pólvora
En realidad he descubierto que existen personas u organizaciones que están usando un 0day (que ya tengo en mi poder) para robar datos de usuarios que usan la última versión de google chrome para android y la última rom disponible para un teléfono nexus que todavía tiene soporte y actualizaciones de seguridad. Dicho exploit tiene la capacidad de robar datos de cualquier usuario solo con entrar a una web. Por supuesto, esta es la parte interesante de la historia, que lo moneticen con complicidad de vodafone es la parte ofensiva de la historia.
y le vas a montar un pollo a Vodafone al que te van a responder "usamos esa plataforma de pagos para comodidad del cliente, perdone las molestias".
Claro que si, por que lo mas comodo para un cliente es que le activen servicios premium sin solicitar, espera, te voy a echar una mano:
https://www.google.es/search?q=servicios+premium+no+solicitado&oq=servicios+premium+no+solicitado
mas de medio millón de resultados de páginas.
De hecho, no entiendo por que mi banco me pide usuario y contraseña, sería mas comodo pedirme solo nombre y apellidos y dejarme operar. Y por que mi tarjeta tiene pin? con lo comodo que era firmar y punto
Y por cierto:
al teleoperador que le está explicando "hay páginas web que te suscriben a esos servicios, te doy de baja ahora mismo y pongo una reclamación para que te devuelvan el dinero".
Que sus teleoperadores tengan formación sobre el tema y lo conozcan como para tener respuesta y herramientas preparadas, no te hace sospechar sobre vodafone? A mi mucho
#24 Repito, parece que has descubierto la pólvora y tienes medio millón de resultados en google sobre el tema, no hace falta que me lo digas porque ya lo sé.
No digo que Vodafone no tengan culpa, digo que lo estás simplificando, tú mismo dices que la parte interesante es cómo consiguen tus datos al entrar en una web con el móvil y que esa es la parte que algunos no entienden.
#26 a ver, creo que no has entendido que yo lo he publicado por que esta vez no ha requerido NINGÚN tipo de interacción por parte del usuario. Los exploits en los navegadores son algo muy serio, que en este caso al parecer se han usado para una estafa muy vieja
#18 Porque algunas empresas de Teleoperadores dan la direcctriz de decir "buenos días, le atiende Menganito desde Teruel".
¿Por qué? Por que el cliente está harto de teleoperadores latinos y por que así consiguen el reconocimiento de "me atendió un chico de Teruel que me lo solucionó".
Lo hacen algunas empresas, otras no, algunos operadores, otros no, va cambiando por temporadas y por campaña y jefe.
Yo después de eso volvía a tostar la imagen de fábrica de nuevo para eliminar sospechas.
Y como consejo si tienes el 6P sin rootear, para ver
pornotorrents, usa Firefox con el plugin Ublock Origin y una pestaña de incógnito, que en esos sitios toda precaución es poca.Precavido
Por cierto, que es esto del servicio tono en espera? que beneficio se supone que saca de ahí la web que te lo ha colado?
#7 Supongo que comisiones, como los comerciales.
#7 El servicio tono de espera sirve para que cuando te llamen no escuchen 'tono' mientras esperan a que respondas, sino una musiquita. Se tarifica semanalmente y vodafone delega en terceros la venta de ese servicio. Saben perfectamente que esos terceros son fraudulentos y saben que la mayoría de las ventas de esa mierda son falsas, han sido robo de datos etc pero reporta muchos millones de beneficios al año.
Los terceros se llevan una comisión semanal.
Vaya tela. Ojalá puedas reproducirlo y llegar al fondo.
#1 estoy en ello, es complejo y parece un 0day en chrome para android, aún estoy recopilando exploits usando los anuncios de esa web, ya contaré como avanza el tema.
#11 me interesa. Mucho ánimo y gracias por compartirlo.
#18 por que te coge el teléfono y te dice: "hola buenos dias, le atiende X desde sevilla, en que puedo ayudarle?" además parecía legítimo lo de sevilla, tenía un ligero acento del sur de España.
El Chrome es el navegador más rápido y fácil para android, pero también el menos seguro por la cantidad de información que recopila de lo que navegas y que envia a vete saber donde.
Seguramente lo que te ha pasado sea un exploit que ni los de google saben, o saben pero no quieren arreglarlo porque eclipsaría alguna función oculta. La página consigue sacar la identificación del número de teléfono que utilizas y ..tachannnn !!, lo demás son servicios automáticos de operadoras sin escrúpulos que nisiquiera piden confirmación.
La verdad es que para evitar estas cosas no lo consigues sencillamente cambiando de navegador, todos son muy parecidos en tema de seguridad y algunos incluyen casi troyanos de por si. Lo mejor es que no uses android para navegar por sitios torrent o parecido o que si quieres hacerlo uses alguna rom o distribución tipo lineage que te permita enredar a bajo nivel, para que tu movil sea más paranoico y no se pueda saltar la seguridad una simple página web.
Y da gracias a los dioses que no te hayan dado de alta en algún servicio 803 o similares.
Has podido hablar con una operadora??? te doy mi más sincera enhorabuena y ya me dirás como lo has hecho, porque no hay manera que te atienda nadie.
Bastante que desear deja el servicio de atención al cliente.
#6 Hay un truco para hablar con una operadora de España. Llamas y dices: "otras razones", la máquina te dirá que vale, que otra razones pero cuales, tu repites "otra razones" y así hasta que la máquina se rinde y te dice: "con quien quiere hablar?" y te da varias opciones, en mi caso escogí "lineas móviles" y me atendió una chica de sevilla.
Intentar cualquier otra cosa deriva en mas grabaciones o en hablar con chicas de latinoamérica que tienen poca o ninguna capacidad para tocar nada.
#12 ¿Cómo sabes que era de Sevilla?
#12 Con Telefónica funciona el hablar siempre en catalán. Te acaban pasando a una operadora en Cataluña. Entonces puedes resolver tu problema en el idioma que quieras. Con Vodafone esto no funciona pues no tienen a nadie que hable catalán.
#6 He logrado hablar con operadoras de Vodafone en algunas ocasiones. Son personas en sudamérica. No tienen ni la menor idea de nada y se dedican a pasar la llamada de un departamento a otro aleatoriamente, de forma que la conversación más corriente es "No entiendo por qué le han pasado a aquí". De esta forma las llamadas pueden durar como una hora. En definitiva tampoco te resuelven nada y se inventan las respuestas pues no conocen de qué van sus servicios. Repito que se las inventan las respuestas. Es verdad.
La última llamada que hice fué para preguntar si el nuevo servicio es más caro o más barato que el anterior. No lo saben. No queda otra solución que esperar a que lleguen las facturas y comparar.
No se trata del servicio de telefonía movil, por favor, eso ni loco. Lo tengo con Pepefone sin ningún problema nunca.
Leo todo el texto y...
Estás navegando por internet por el móvil.
En una página de torrents.
Que ha abierto un pop-up y colapsado el navegador.
Acto seguido te llego un mensaje enviado por Vodafone en el que te dicen que has activado un servicio.
Llamas a Vodafone, explicas la situación, te la resuelven y te dicen que te devuelven el dinero.
Y luego en meneame pones un artículo con el texto "Estafa a clientes de Vodafone".
No "cuidado con activaciones de servicios al navegar por internet".
Por experiencia profesional te digo, lo de "estaba navegando, no sé qué hice y se ha activado algo" pasa en TODAS las compañías, el problema en origen es que hay cierta gente que vive de conseguir euros sueltos en suscripcciones involuntaias engañando a gente que navega por internet.
La siguiente del problema es que Vodafone (o Movistar, u Orange o Jazztel) no actúa contra quien hace eso.
#19 Te puedo decir por experiencia profesional que a mi no me ha engañado nadie en internet
Yo no he rellenado ninguna web de phishing, ni he dado mis datos a nadie. No soy estupido y además soy auditor de seguridad informática. Se muy bien lo que he hecho y lo que he dejado de hacer con mis sistemas informáticos.
Dicho todo esto, Vodafone estafa a sus clientes. Y lo digo así de clarito. Si una web que consigue mi número de teléfono con un exploit puede darme de alta en un servicio premium, Vodafone me está estafando o es colaborador necesario en una estafa.
Vodafone tiene mi número de cuenta y un contrato que hemos firmado para que me presete unos servicios que cobrará de esa cuenta, pero luego resulta que Vodafone aprovecha ese contato y autorización de pago para que una red de empresas de terceros fraudulentas intente cobrarme servicios que yo nunca he solicitado.
Lo que estoy descubriendo sobre esta mierda de asunto da para escribir un buen artículo (que lo haré, que no se preocupe Vodafone) sobre esta estafa. Al parecer el 0day consiguió solo mi teléfono a través de un exploit que ya tengo descargado. Única y exclusivamente sabiendo mi numero de teléfono, una empresa le dijo a vodafone telemáticamente que yo había solicitado un servicio premium y vodafone me lo activo, comenzo la facturación de ese servicio y por supuesto, prometió su parte del pastel a esa empresa.
Si esto no es una estafa que venga dios y lo vea. Por supuesto que tu puedes decir que Vodafone no es responsable de si esa empresa de terceros le engaña o no, pero si es responsable de exigir y proporcionar medios para validar que yo he aceptado dicho servicio, por ejemplo, pidiendome autorización a través de la app de mi vodafone o cualquier otro medio seguro.
Pero Vodafone no pide ningún tipo de prueba ni usa ninguno de los medios a su alcance para obtener la prueba por su cuenta así que se puede decir mas alto pero no mas claro: en Vodafone son unos putos estafadores.
Ala, ya lo he dicho
P.D. me he dejado una pregunta en el tintero #19 cuando sugieres el título "cuidado con activaciones de servicios al navegar por internet" me explicas como el usuario puede exactamente evitar o prevenir que un exploit le saque el número de telefóno y le active un servicio premium cuando vodafone solo pide un puto número de teléfono para activarle el servicio premium y empezar a cobrar?
#22 Te puedo decir por experiencia profesional que a mi no me ha engañado nadie en internet
No tienes ni idea de los pop ups que han salido ni de qué ha hecho tu teléfono pero nadie te ha engañado.
A ver, engañado no es la palabra pero seguro que por un microsegundo apareció en psantalla el botón "pulsa aquí y gasta dinero". Así funcionan.
Tú puedes pensar lo que quieras pero eso que hace Vodafone también lo hace Movistar y seguramente cualquier otra compañía de telecomunicaciones.
Y cuando tú, que te dedicas a la seguridad informática, pones el título "Estafa a clientes de Vodafone" lo que estás haciendo es simplificar el problema y dar ánimos a la gente que llama por teléfono y dice "yo no he tocado nada, sois unos ladrones y unos hijos de puta" al teleoperador que le está explicando "hay páginas web que te suscriben a esos servicios, te doy de baja ahora mismo y pongo una reclamación para que te devuelvan el dinero".
Luego esa gente se cambiará de compañía y volverá a pasarles lo mismo.
Otra vez una malvada empresa les estafará mandándoles sms avisándoles de que han contratado servicios navegando por internet.
Que parece que has descubierto la pólvora y le vas a montar un pollo a Vodafone al que te van a responder "usamos esa plataforma de pagos para comodidad del cliente, perdone las molestias".
#22 Te respondo en otro comentario.
Vodafone te ha avisado con un sms.
Así es como el usuario puede evitar o prevenir que el problema vaya a mayores.
A mi NUNCA se me ha activado un servicio de esa clase. Ni a mi padre, mi madre o mi hermano. De hecho a NADIE que conozca le ha pasado.
Vodafone (o MS o lo que sea) es culpable de hacer la vista gorda con empresas que hacen eso de forma fraudulenta. Pero lo hacen con la excusa de que otras empresas lo hacen de forma legal (lo dudo mucho).
No te digo que Vodafone sean unos santos.
Te digo que estás descubriendo algo MUY viejo y que se explica diciendo "cuidado al navegar, se pueden activar servicios de pago", no diciendo "estafa a clientes de vodafone".
#19 Este tipo de pequeñas estafas también me las hizo vodafone 2 veces y tuve que marcharme. Desde que me fui a yoigo no me ha vuelto a ocurrir.
#33 Me fuí de Vodafone por las estafas. No he tenido problemas similares desde entonces.
#0 ¿Qué haces en Vodafone a nivel minorista?
Escapa.
#32 seguro, en esas te salta el antivirus, te salen popups que te secuestran el navegador y no puedes ni reiniciar el PC...
#40 Lo absurdo es que con el sistema que tiene WhatsApp se puede instalar en un dispositivo que no tenga el número de teléfono (tablets incluso).
Lo de las SIMs duplicadas que funcionan a la vez no lo sabía. Eso sí, WhatsApp a la vez en dos teléfonos imposible.
#0 ¿El móvil no te lo ha vendido Vodafone? Porque si no es así, no me explico como la página ha podido llegar a tener acceso a tu número. Sería un fallo muy gordo del navegador que permitiera acceso a los SMSs por ejemplo.
#29 no, nunca compraría un móvil a través de una operadora. El móvil es un terminal libre comprado a un distribuidor oficial.
Aún estamos (se ha sumado más gente de confianza) investigando el bug, como he explicado arriba, tenemos al menos un exploit capturado en la publicidad de esa pagina que hace crashear Chrome en Android, podría ser el mismo exploit o una casualidad. Ahora estamos haciendo ingeniería inversa para entender que hace.
#30 Interesante. Por favor avisad de los resultados y publicad toda la información que podáis (p.ej. la URL maliciosa) para que podamos ayudar en la investigación.
Por cierto, visitando esta misma página (Meneame) con el móvil me ocurre que a veces se me redirecciona directamente sin yo pulsar ningún enlace, a una página estafa de "ha ganado un iPhone" o "su móvil tiene un virus", incluyendo mensaje de PopUp y vibración. Me gustaría saber de dónde viene esa redirección pero no he conseguido averiguar nada
#30 no sera newpct o alguna de sus paginas hermanas?
#29 Android proporciona el número de teléfono a las apps si lo piden y existe el permiso para esa función. El permiso se lo dás siempre, lo necesite o no, pues no puedes estar verificando eso constantemente.
A no ser que rootees, instales Xposed y controles los permisos por ahí.
#38 Además de tener ese permiso la aplicación del navegador, tiene que estar preparada para enviárselo a la web que se lo pida.
Lo que no entiendo si existe dicho permiso, es por qué no lo utiliza WhatsApp, en lugar de preguntárselo al usuario y confirmarlo mediante la recepción de un SMS al que tiene acceso.
Pero me creo que exista, porque en la App de mi compañía telefónica, recibo un SMS de verificación sin que me pregunte el número.
#39 Whatapp es una app muy especial que se toma muchas molestias para confirmar el número de teléfono para evitar errores. una vez instalada queda limitada a exclusivamente ese terminal.
Y ya puestos a rajar, mover whatsapp a un teléfono nuevo es peor que sufrir una piedra en el riñón.
No sé si sabrás que se puede tener el mismo número en más de un terminal. Cuando te llaman suenan ambos y el primero que contesta es el que habla. las compañías intentan evitar las SIMs duplicadas por todos los medios a su alcance, pero no lo pueden controlar todo
Vodafone España siempre ha estafado de infinidad maneras de este estilo. Al menos esta no hubo problema en cancelarla, porque otras se basan en que sus empleados no tienen capacidad para solucionar el problema, para que la estafa pueda tener lugar (sin que ellos sean conscientes).
Recuerdo el viejo Sony Ericsson T610 que le compre a Vodafone que con el software que traia, el mismo boton que servia para colgar, servia para conectarse a internet. Si alguna vez le dabas por error una segunda vez al boton (o porque el telefono era tan lento que tardaba en colgar), te conectaba a internet por 69 centimos mas IVA. Para cancelar la conexion, el boton era el mismo, y cuando le dabas a cancelar, tardaba siempre un rato en reaccionar, pero si durante este rato le dabas otra vez a cancelar, entonces dicha pulsacion de cancelar la interpretaba como volver a conectar. Y asi le clavavan a todo el mundo de golpe unas cuantas conexiones a internet.
¿Un fallo que el teléfono fuera tan lento? Al contrario, un genial diseño por parte de Vodafone. No es un bug, es una feature.
#28 a mi eso me paso unas cuantas veces en la 1º epoca de amena con un one touch easy, se me conectaba misteriosamente al WAP de amena asi por las buenas y me fundia el saldo en cuestion de minutos por las conexiones.