Мобильные подписки, AdWords, приложение Вконтакте и фишинг



    Долго думал над тем, как правильно сформулировать заголовок, чтобы он отражал суть ситуации. Я хочу рассказать об интересном способе развода пользователей ВКонтакте, с которым сегодня пришлось столкнуться.

    Не секрет, что очень много пользователей вводят название сайта, на который хотят попасть, в поисковой строке. Выше вы видите рекламу в выдаче google по запросу «vk.com». Казалось бы, в качестве домена приземления указан www.vk.com и даже внимательный пользователь со спокойной совестью кликает по объявлению. И попадает на… сайт с незамысловатым доменом вида vk.com.uohu8.tk



    Пользователю предлагается восстановить контроль над учетной записью:
    • ввести номер телефона,
    • получить код в сообщении,
    • ввести код в форму.


    Правда, схема у мошенников могла бы быть и лучше, после ввода кода из сообщения фишинговый сайт говорит об ошибке у оператора сотовой связи и просит дать ему номер у другого оператора. Хотя мог бы просто переадресовать на настоящий vk.com.



    Код пришел от MegafonPro и по факту произошла подписка на tooportal.com.


    А теперь главный вопрос: "Как такое возможно?"

    AdWords формирует домен страницы приземления на основании ссылки, которую указал рекламодатель. Что это, баг AdWords? Нет. Все очень просто.

    Рекламодатель указал в качестве страницы приземления адрес приложения ВКонтакте. Поэтому рекламная система абсолютно честно и правильно показывает домен vk.com.

    А вот уже приложение ВКонтакте средиректило пользователя на домен фишера. Все происходит очень быстро и пользователь не понимает, что что-то не так. Причем домены меняются динамически самим приложением. Вот это приложение — vk.com/app3395740 (UPD: приложение заблокировано администрацией UPD 2: Ссылку в рекламе заменили на vk.com/app3397737.).

    Кто виноват и что делать?

    Сложно однозначно ответить на этот вопрос.

    С одной стороны, рекламодатель должен иметь возможность приземлять пользователя в приложение или группу ВКонтакте. Тем более, сейчас вся активность, которая раньше крутилась вокруг всяких любительских хомяков (homepage) переместилась в социальные сети: группы и паблики. Явно, это не проблема на стороне AdWords.

    Никто также не мешает разместить ссылку на приложение ВКонтакте в любом другом популярном месте в интернете, подписать пользователя, а затем отправить его на настоящее приложение.

    Кажется, что безопасность приложений ВКонтакте — проблема ВКонтакте. Но даже тщательная проверка приложений ничего не даст. Программист может сделать так, чтобы первое время приложение было приложением, а через месяц или два (когда все проверки будут пройдены) превратилось в редирект на фишинговый сайт.

    А что вы думаете по этому поводу?

    UPD: Реакция ВКонтакте

    Ребята из ВКонтакте — молодцы. Реагируют очень быстро. Вот такое предупреждение увидел только-что.

    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 139

      +121
      >А что вы думаете по этому поводу?

      думаю это достаточно эффективный способ фишинга.
        0
        Было бы гораздо хуже, если бы они просили пользователей вводить пароли от ВК
        +2
        А разве контакт не должен предупреждать пользователя о том, что его редиректят по внешней ссылке?
          +3
          Там просто iframe, в который загружается код с какого-то сервера.

          GET /q.php?api_url=http://api.vk.com/api.php&etc HTTP/1.1
          Host: 37.230.116.12

          <html> <head> <script> top.location.href='http://vk.c'+'om.bzkspe.tk/?flow_id=22'+'28&code=ftbsxzcqbx'; </script> </head> </html>
            0
            Прошу прощения если говорю глупость, но мне кажется что Контакт должен допускать пользователя к каким-то сторонним приложениям/URLам, ТОЛЬКО если пользователь сам разрешил это.
            В Фейсбуке кажется так — заходиш на URL приложения, фейсбук покажет форму, мол, «действительно хочеш дать данные пермишены для данного приложени?». И пропускает только если юзер нажмет «Ок».
              0
              Значит этому приложению не нужны никакие права. Возможно действительно проблема Вконтакта.
          +9
          >А что вы думаете по этому поводу?

          на адресную строку смотреть надо.
            +25
            У меня жена почти попалась на этот фишинг. Я вовремя заметил.
            Ваш комментарий выглядит примерно так: в изнасилованиях виноваты сами девушки т.к. они сами гулять пошли на дискотеку до утра и одеваются вызывающе. Или «читать надо лицензионное соглашение», тогда бы из вас не сделали человеческую многоножку.

            А мое мнение — наказывать надо за это! В тюрьму сажать.
              +11
              Одно другому не мешает…
                –12
                Разница все таки есть, между понятиями «не надо делать» и «надо делать».

                Пешеход, который переходит дорогу и НЕ СМОТРИТ по сторонам виноват с моей точки зрения не меньше водителя. То есть даже не так, это вообще самоубийцка какой-то.

                Или вы вот про изнасилование сказали. ОК, девушка оделась «вызывающе». Но если она после этого сознательно напилась и пошла домой чере парк ночью, сама, шатаясь — чуть ли не маньяка оправдать хочется.

                Ну то есть такая виктимность просто поражает воображение.
                  +24
                  Про пешехода — правильно все сказали. Но водитель не хочет сбить — это случайность. А тут целенаправленно хотят обмануть. И запомните — в изнасиловании никогда нельзя винить потерпевшую сторону!!! Что за чушь вы только что сказали? Почему нельзя идти через парк ночью? В парке не должно быть насильников! От них надо избавляться и вешать за яйца. Почему я должен вставлять дома огромную железную дверь? Почему??? В некоторых странах картонной двери достаточно. Мы все боремся уже со следствием а не с причиной. Надо искоренять болезнь, а не ее последствия. Во всех преступлениях виноват преступник, а все остальные — лишь потерпевшая сторона. Наказывать надо преступника.

                  «Бронежелет надо носить!» = так бы не пристрелили — вот так лучше?
                    –2
                    Не понял, я где-то писал что не надо наказывать преступника?

                    Я только объяснил, что если человек ведет себя как самоубийца, то ЭМОЦИОНАЛЬНО на его сторону стать не получается, даже когда он явно потерпевшая сторона.
                      0
                      То есть, вы в такой ситуации ЭМОЦИОНАЛЬНО на стороне насильника?
                        –3
                        Нет. Точно так же как в случае с пешеходом не на стороне водителя, нарушившего правила.

                        Странно, что с пешеходом человек вышел понял и согласился, а с насильником нет, хотя полная аналогия.
                          +3
                          все просто вы ставите в аналогию нормальных людей (пешехода и водителя) которые не совершают преступления от того что один пешиход а второй водитель, и ненормального маньяка, который уже изначально является преступником.
                    +5
                    Пешеход, который переходит дорогу и НЕ СМОТРИТ по сторонам виноват с моей точки зрения не меньше водителя. То есть даже не так, это вообще самоубийцка какой-то.


                    Если зеленый свет — не обязан. Не знаю, как там в _вашей_ стране, в цивилизованном мире водитель по городу не гоняет и пешеход переходит дорогу спокойно, даже слушая плеер. Те же, кто игнорят правила, разговаривают, едят за рулем и тд., в результате сбивая пешехода, вполне так садятся в места не столь отдаленые.

                    Или вы вот про изнасилование сказали. ОК, девушка оделась «вызывающе». Но если она после этого сознательно напилась и пошла домой чере парк ночью, сама, шатаясь — чуть ли не маньяка оправдать хочется.

                    Ну это вообще диагноз. Вспоминается история, как в каких-то небольших городах в Шотландии люди не запирали дома, пока не понаехало быдло из восточной европы. Нападению с изнасилованием оправдания нет. Я конечно говорю о настоящих нападениях, а не когда какая-нибудь обиженная деваха пытается оклеветать неугодившего мужчину.
                      +3
                      Обязан. У водителя могут отказать тормоза или случится сердечный приступ.
                        +5
                        Следуя такой логике он ещё обязан посмотреть наверх — на него может упасть самолёт.
                          +1
                          Если ему жить охота, пусть смотрит. Ему потом обвинять некого будет…
                            +3
                            Для пешеходов тоже есть правила дорожного движения, и там написано что иногда по сторонам смотреть все же надо. Ведь еще в школе всех учили «посмотри налево, потом направо», но к сожалению многие забывают эти простые правила.
                            0
                            И виноват будет водитель. Например, ТО никто не отменял.
                              +2
                              Сердечный приступ тоже никто не отменял…
                                +1
                                Виноват будет водитель, но пешехода никто не вернет.
                                +2
                                Согласно правилам, водитель обязан проверять техническое состояние автомобиля и свое физическое состояние перед началом движения. Если отказали тормоза — это не оправдание для водителя. Если сердечный приступ — тогда ему уже не нужны оправдания.

                                Но инстинкт самосохранения у пешехода тоже должен быть. Не смотря на дорогу и слушая любимую музыку переходить даже на зеленый свет светофора опасно для жизни.
                                  0
                                  Даже если водитель проверил железного коня и держит руку на пульсе — это не дает априори 100% гарантий отсутствия форс-мажора на дороге.
                                +3
                                Обязан. Зелёный свет не гарантирует вам безопасного перехода, а просто разрешает его. Вы забываете что есть как минимум 3 службы, которые в праве игнорировать сигнал светофора — скорая, пожарные и полиция. И тут никто кроме пешехода виноват не будет, если пожарные неслись на вызов со включенной сиреной и мигалками, а вот он такой красивый в наушниках на зелёный идёт и не смотрит по сторонам.
                                  0
                                  Если не врубать на максимум, сирену услышать можно, в отличии от рева двигателя какого-то идиота, который несется через зебру не смотря на дорогу :) Я не оправдываю полное абстрагирование от реального мира, я говорю что пешеход или велосипедист не обязаны пересекать дорогу как зайцы, опасаясь каких-то отморозков.
                                    0
                                    Если не врубать на максимум, сирену услышать можно
                                    У вас просто не было наушников Etymotic =)
                                    +2
                                    Или если за рулем авто находится маньяк, только что изнасиловавший вульгарно одетую девушку в парке и наделавший фишинговых редиректов))
                                    0
                                    «Не знаю, как там в _вашей_ стране, в цивилизованном мире водитель по городу не гоняет и пешеход переходит дорогу спокойно, даже слушая плеер.»

                                    Предположим, что США цивилизованная страна. Регулярно в Майами летают на спорткарах. На Манхэттэне таксисты тоже часто бешеные.

                                    p.s. В Германии раньше тоже велосипеды не пристегивали на замок, а во Флориде в некоторых городах по прежнему открыты дома и машины, и уровень преступности 0.

                                    p.p.s. А еще есть «забавный» исторический момент с надписью на могиле: «Мистер Брукс был прав!». И это касается любой страны.

                                    p.p.p.s. В том же штате Флорида, в некоторых городах, по прежнему открыты машины и дома, и уровень преступности равен нулю. Но полицейские предупреждают всегда: закрывайте машины и дома!
                                      0
                                      США — страна контрастов. Вы еще какой-нибудь Детройт вспомните. Но как я говорил, лихачить это одно, сбить человека — другое. И наказание соответственное. Впрочем, это одна из причин, почему на каком-нибудь Манхэттене я лично жить не хочу.

                                      В том же штате Флорида, в некоторых городах, по прежнему открыты машины и дома, и уровень преступности равен нулю. Но полицейские предупреждают всегда: закрывайте машины и дома!

                                      И это правильно. Но понятие виктимности — бред. Люди, которые совершают такие преступления просто потому что могут — отбросы, им нет оправдания.
                                      0
                                      Обязан/не обязан… Как говорится — а на надгробии напишут «переходил дорогу, был прав».
                                    –5
                                    Странное отношение
                                    вот к вам приходит странный субьект, предлагает подписать странного вида договор, после чего потребует душу — вы тоже будете кричать о том что «не виноватая я !»

                                    Есть известные критерии обмана. Знать и игнорировать их — значить быть виноватым.

                                    А изнасилование в городе, в одной правовой системе, не является таковым — если бы не хотела, то кричала б и сопротивлялась, понабежал бы народ и насильника бы пресекли.
                                      0
                                      А изнасилование в городе, в одной правовой системе, не является таковым

                                      И где это так? В Ираке каком-нибудь?
                                        +1
                                        Тора, пятикнижье, он же ветхий завет, и судя по всему наше ближайшее будущее
                                  –6
                                  Точно такая-же проблема была, только заразился вирусом, и хостс подменили. Так же оформили подписку, но добрая тётя оператор быстренько её деактивировала.
                                    +9
                                    И чем ваша проблема «такая же»?
                                      –4
                                      Фишинг с вк, так же ввёл номер, получил код, активировал, подписался.
                                        +10
                                        После прочтения этого сообщения на хабре моя вера в людей уменьшилась вдвое.
                                    +2
                                    DDoS?
                                      –5
                                      Может проверяют, есть ли доступ к kaspersky.ru? А если нету доступа, то загружают вирус? А доступ может блокироваться другим вирусом, который заменил hosts.
                                      +10
                                      Там еще интересный скрипт в коде страницы есть:
                                      window.onbeforeunload = function (evt) {
                                      	alert('Покидая страницу, Вы осознаете, что ваш аккаунт может быть удален! Vk.com');
                                          var message = "Внимание! Если вы покинете страницу, то вы потеряете возможность восстановить доступ к странице!";
                                          if (typeof evt == "undefined") {
                                              evt = window.event;
                                          }
                                          if (evt) {
                                              evt.returnValue = message;
                                          }
                                      	
                                          return message;
                                      }
                                      

                                      Видимо чтобы окончательно запугать пользователя…

                                      Вообще ситуация с этим фишингом очень печальная… Поможет в этом только внимательность пользователей и своевременные жалобы (что я и сделал, отправив ВКонтактовцам ссылку на эту статью и описание проблемы). Но с внимательностью пользователей, к сожалению, ситуация еще печальнее, практика показывает, что они читают надписи на экране очень избирательно (если вообще читают)… А привычки всяких планшетных браузеров скрывать URL в данном случае получаются только на руку фишерам…
                                        +4
                                        О, теперь по ссылке на приложение выдает «Приложение   заблокировано администрацией сайта.» Быстро отреагировали на обращение, это радует.
                                          +6
                                          Вот тут действительно годный фишинг. Поэтому я по рекламным ссылкам стараюсь не кликать (в адмобсе все подряд могут подсунуть).

                                          Ну опять же, брать браузер, где домен первого-второго уровня подсвечивается, и проверять его, при необычном поведении сайта.
                                            +36
                                            Не секрет, что очень много пользователей вводят название сайта, на который хотят попасть, в поисковой строке

                                            А также не секрет, что один «самый популярный браузер» будто специально форсит такое поведение. Начинаешь вбивать известный домен, он тут же предлагает тебе его автокомплитом, но вместо нормального URL http://example.com суёт «популярный результат поиска example.com», лишь бы прогнать через себя побольше трафика. Лично меня очень часто напрягает такая схема.
                                              –5
                                              А вы на строчку ниже посмотрите, там как раз прямая ссылка и будет.
                                                +3
                                                Ну сейчас проверил — если набрать newyorkpost — то предлагает newyorkpost.com как прямой урл, и new york post как поиск. Что вам здесь не нравится то?
                                                  0
                                                  Если предположить, что самый популярный браузер это Opera, то всё так, как сказал автор =)
                                                  0
                                                  В «Самом популярном браузере» после ввода уже знакомого\не знакомого домена по нажатию Ctrl подставляется красивый URL.
                                                  +1
                                                  От части это даже проблема браузера, зря не опытным пользователям дали возможность вводить запрос прямо в строку браузера. Это строка адреса, а не поиска. Все мои попытки объяснить кому-либо, что если это сайт, который ты постоянно ходишь, то нужно вводить его адрес, а концовку его тебе подскажут воспринимались в штыки. Впрочем некоторые на поисковик заходят, чтобы ввести адрес сайта и потом зайти на него… Люди не понимают опасности, да и то, что быстрее адрес сайта ввести, на худой конец (или лучше даже) из закладок сайт выбрать, благо сейчас их можно удобно на пустую вкладку браузера перенести. Но даже не смотря, что сайт горит там, видел как всё равно вводят название сайта.
                                                    +10
                                                    Тут уже не какие беседы боюсь не помогут, большинство не понимает и не хочет понимать, что есть такое понятие как информационная безопасность. Нужно это со школы на уроках ОБЖ прививять, тогда может быть что-то изменится, когда о защите своих данных будут говорить на равне с тем, что не надо ходить в тёмный переулок ночью и переходить улицу на красный свет.
                                                      +5
                                                      Ваш комментарий — самый умный.

                                                      Действительно, такие вещи уже давно пора учить в школе. Сейчас растёт поколение, которому никогда не пришлось «вслушиваться в звук модема для определения протокола и скорости соединения», они с двух лет привыкли к глянцевым тач-экранам и красивым кнопочкам с закруглёнными углами. С одной стороны, это поколение очень технологично в плане того, что оно умеет пользоваться всеми этими айПадами и Андроидами буквально с пелёнок, но с другой — не имеет ни малейшего представления, что происходит «под капотом», и не в состоянии отличить даже адресную строку от Гугла.

                                                      Этот ликбез нужно провидить именно в школах, причём ещё в младших классах.
                                                    0
                                                    Правда, схема у мошенников могла бы быть и лучше, после ввода кода из сообщения фишинговый сайт говорит об ошибке у оператора сотовой связи и просит дать ему номер у другого оператора. Хотя мог бы просто переадресовать на настоящий vk.com.

                                                    Вконтакте славится своим прогрессивным подходом к фишингу и прочим айтишным непотребствам. Так что этот подход оправдан. Иначе вконтакте вполне могли бы по рефереру выдавать предупреждение с рекомендацией тотчас отказаться от подписки.
                                                      –2
                                                      Я думаю это дырка мегафона в первую очередь.

                                                      Во вторую очередь хороший поисковик должен найденный сайт ранжировать выше AdWords, а то и сразу редиректить куда надо.
                                                        0
                                                        Поисковик не будет свой же хлеб зарывать куда-то в подвал — он с этого живет и в первую очередь добывает свою прибыль.
                                                          0
                                                          Вы о чем?

                                                          У гугла кнопка «I'm Feeling Lucky» на главной много лет.
                                                            0
                                                            Вам нужно очень постараться, чтобы на нее нажать
                                                              0
                                                              Я о том, что рекламное объявление будет сверху и ставить его ниже самого разофициального сайта, набранного в строке поиска, гугл не будет.
                                                                0
                                                                Вы так говорите, как будто вконтакт за это не заплатит
                                                                  0
                                                                  ВК может заплатить, но разговор не об этом. Разговор о том, что поисковик зарабатывает рекламой, а не повышением позиции сайта в выдаче. А свои источник дохода — всегда на первом месте, если, конечно, это не благотворительная организация филантропов.
                                                                    0
                                                                    Если мне сайт, вместо того за чем я пришел, станет подсовывать сотни рекламы — у него будут большие проблемы с монетизацией. В лучшем случае включу баннерорезку.
                                                                      0
                                                                      Количество рекламы — вопрос баланса. Но прятать её никто не будет.
                                                                        0
                                                                        Я такого и не предлагал
                                                                          0
                                                                          >хороший поисковик должен найденный сайт ранжировать выше AdWords
                                                                          Изначально об этом пошел разговор.
                                                                            0
                                                                            и? Где вы нашли тут слово «прятать»?
                                                            0
                                                            К сожалению для оператора сотовой связи это не дырка, а возможность взять некоторую комиссию с ничего не подозревающего пользователя :(.

                                                            Конечно все это потом можно попытаться опротестовать, но не каждый будет это делать и не у каждого получится.
                                                            0
                                                            Хороший пример, чтобы блокировать рекламу и использовать букмарки.
                                                            Тем более (в случае с vk) 5 символов можно написать и в адресной строке браузера.
                                                              0
                                                              6 символов, но закладки, все равно, удобнее. Особенно, когда привыкаешь набирать только необходимое количество символов, чтобы в первой строке выпадающего списка оказывалась нужная закладка.
                                                                0
                                                                Я давно не доверяю «текстовым рекламным выпадающим результатам» (в поисковиках), а баннеров у меня в браузере нету. Все режется под корень. Ссылки в 6 или 16 символов набиваю в адресной строке браузера и он ее довершает.
                                                                Не понял к чему ваш пост, решили перефразировать мой или развить мысль?
                                                                  +1
                                                                  Добавлю ещё, что не просто 6 символов, а https://vk.com, по возможности.
                                                                  Благо, защищённый канал уже давно поддерживается и в настройках аккаунта есть галочка «использовать безопасное соединение».
                                                                +2
                                                                Разве правилами Adwords не запрещены перенаправления?
                                                                  +2
                                                                  Скорее всего на момент добавления и время модерации там не было никаких перенаправлений.
                                                                  +4
                                                                  > Сложно однозначно ответить на этот вопрос.
                                                                  А что тут сложного? Возможность мошеннику задать такой вот текст СМСки, не включив туда инфу о том, что это подписка, сразу отвечает на этот вопрос.
                                                                    0
                                                                    Ага вроде же уже собирались сделать фишку, чтобы при любой подписке приходит sms с ценой этой подписки.
                                                                    +6
                                                                    Скорее это дырка браузеров(DOM API), позволяюших из фрейма делать переадресацию родительского окна.
                                                                    • UFO just landed and posted this here
                                                                        0
                                                                        Значит переадресовывать на этот сайт НЕ из фрейма. Я думаю это реализуемо в любой «легальной» схеме
                                                                      +1
                                                                      > А что вы думаете по этому поводу?

                                                                      злоумышленники атакуют не только подменяя сайт вконтакте.
                                                                      поэкспериментируйте с разными популярными запросами (проявите фантазию, не только ВК существует в рунете, ага?) — найдете еще кучу подобных ссылок

                                                                      > Явно, это не проблема на стороне AdWords.

                                                                      Не явно.
                                                                      Во-первых, AdWords мог бы жестче относиться к рекламодателям вплоть до блокирования аккаунта и счета в случае подобных действий (разбор полетов). Во-вторых, AdWords мог бы ввести более жесткую пре-модерацию в случае позозрений на фишинг. Слабо что ли TOP-N популярных запросов и сайтов определить?

                                                                      Но сам AdWords имеет, видимо, неслабый доход от подобных рекламодателей, поэтому особого рвения не проявляет.
                                                                      Может быть это и правильно, когда с мошенниками должны разбираться не девочки-модераторы, а компетентные органы. И судить не «за намерения», а «за деяния»
                                                                        0
                                                                        конечно же это правильно, ведь если девочки-модераторы гугла получат распоряжение: блокировать, в случае каких либо подозрений, рекламодателей… мы сами и взвоем…
                                                                        +3
                                                                        Все это будет до тех пор, пока схема оплаты не включает в себя переход на оператора управления подписками, грубо говоря, сайт ОСС, по аналогии с PayPal. На странице управления подпиской самого оператора будет указано, что, на каких условиях, за сколько денег подключается. Также можно собирать реферры, откуда пришел человек, и если что, проверить.
                                                                          +1
                                                                          Операторы в ряд ли пойдут на такое — насколько мне известно, им самим это выгодно, т.к. они с подписок и вообще любых платных сервисов они имеют неслабый процент. К сожалению, в нашем мире для большинства деньги пока являются основной ценностью.
                                                                            +2
                                                                            Это не будет работать, пока отделы по борьбе с фродом в сотовых операторах сами организовывают эти схемы.

                                                                            См. нашумевшую в узких кругах историю с МТС:

                                                                            sporaw.livejournal.com/147332.html
                                                                            korolev.livejournal.com/1429121.html
                                                                            +1
                                                                            Я думаю, что в контакте это плохо :)
                                                                            Если серьезно, то фишинг — он и в Африке фишинг. От него невозможно защититься, как и от обычного уличного мошенничества. поможет только острый глаз и хорошая карма.
                                                                              +1
                                                                              Шоколад не виноват(с).
                                                                              Имхо, выводы:
                                                                              — не совершенство adwords (должна быть постпроверка, хотя не уследишь, прием клоакинга не отменяли);
                                                                              — не доработка вконтакте (сложно представить как оное мониторить, смотреть содержимое iframe?)
                                                                              — недоусмотрение браузера, мог бы как-то реагировать на действия iframe который пытается редеректить родителя.
                                                                                +2
                                                                                В данном случае основной фейл оператора, который позволяет подписываться на услуги, без единого слова, о том что ты подписываешься на платную услугу. Что им мешало в конце любого сообщения добавлять «Цена подписки N рублей/месяц», этого хватило бы, чтобы у большинства закралось подозрение. Но операторам это не выгодно, они чуть ли не половину бабла с этого забирают себе.
                                                                                0
                                                                                Ссылку на приложение по запросу vk.com уже заменили(http://vk.com/app3397737), всё прекрасно редиректит… И этот способ будет работать до тех пор, пока ВК не начнём избавляться от этого в момент зарождения таких приложений.
                                                                                  +1
                                                                                  Корень проблемы в том, что а) есть сотовый оператор, который позволяет монетизировать мошенничество и б) нет госслужбы, которая сажала бы за такое в тюрьму.

                                                                                  В тех странах где сложно получить короткий номер, оформить «премиум»-услугу и запросто так получать деньги от абонентов там нет такого фишинга.
                                                                                  Думаю от запрета самоподписки на премиум-услуги всем бы стало легче.
                                                                                    0
                                                                                    Опять же, операторы не «светят» услуги типа «запрет контента», их подключают только те кто попался плюс особо въедливые, так что вопрос ещё и в том, почему у абонента «по умолчанию» нет возможности узнать об этой услуге...
                                                                                    –2
                                                                                    Пора уже разработчикам браузеров встроить noscript по-умолчанию с вайт-листом. Просто сделать его более юзер-френдли, чем он есть сейчас.
                                                                                    • UFO just landed and posted this here
                                                                                        –4
                                                                                        Вы на самом деле, где-то увидели в моем сообщении призывы запретить js? Обширный вайт-лист, которого должно хватить большинству людей, которых надо защищать от фишинга, xss и вредоносного js. При посещении сайта вне белого списка, небольшое сообщение, что сайт может работать не так как задумано, если вы доверяете этому сайту нажмите здесь. Можно еще приделать к этому еще рейтинги вроде WoT.
                                                                                          +1
                                                                                          фишинговые сайты будут просить пользователя разрешить js и дальше радоваться…
                                                                                          к тому же способы ломать через java, flash, другие плагины, уязвимости никто не отменял…
                                                                                            –2
                                                                                            При таком унылом подходе тогда вообще не стоит ничего делать безопасным — зачем ставить в машинах подушки и ремни безопасности, все равно при столкновении на скорости 200 км/ч с лесовозом, людей они не спасут.
                                                                                      +1
                                                                                      Пара орфографических ошибок в фишинговой объяве никого не смутила?
                                                                                        0
                                                                                        Отличный аргумент чтобы заставить сына оттачивать русский язык.
                                                                                        +2
                                                                                        Может накликать, реклама у гугла поди не дешево стоит?
                                                                                          –1
                                                                                          Цену за клик сам выставляешь.
                                                                                            0
                                                                                            Первая конструктивная идея в этом обсуждении :-)
                                                                                            0
                                                                                            Вся цепочка, используемая для заманивания потенциальной жертвы, предполагает невнимательность конечного пользователя.
                                                                                            Первая ссылка по запросу выделена другим цветом и имеет сверху подпись «Реклама по запросу».
                                                                                            Однако, расположение рекламного пространства действительно очень напоминает первый результат поиска. Это наводит на мысли о том, что данный вид рекламы построен на условном рефлексе клика на первый результат т.е. изначально является своеобразным фейком. На мой взгляд этот вид рекламы не очень порядочный по отношению к пользователям со стороны поискового гиганта и идет вразрез с некоторыми принципами компании. Однако, псевдо-результат поиска обозначен как реклама, по сему не придраться.
                                                                                            Кстати, зачастую такие рекламные ссылки не открываются т.е. ведут на пустую страницу, что было неоднократно зафиксировано при использовании DNS-серверов от Google.
                                                                                              0
                                                                                              Так и не понял почему не показывали url до приложения.
                                                                                              Вот например запрос: в adwords ссылка на www.ask.com/Купить+Авто+ВАЗ+2114, а не на ask.com
                                                                                                +3
                                                                                                В adwords можно редактировать ссылку в приделах домена. Например, ссылка ведёт на ask.com/1.html, а можно написать для отображения ask.com/2.html, но aaa.com/2.html нельзя. Это сделано с той целью и логикой, что незачем в рекламном объявлении иногда полной ссылкой людей напрягать. Например, ты рекламируешь товар в инет магазине и ссылка на 50 символов, смотреться будет не очень. Но фича эта была сделана явна без учёта таких ситуаций.
                                                                                                +2
                                                                                                В таких случаях всегда спасает опция браузера, которая спрашивает выполнять ли переадресацию. Один лишний клик, который раздражает в 90% случаев, но и спасает в 10%.
                                                                                                  0
                                                                                                  Здесь косяк гугла, разрешившего подобное объявление (ну не имеет какое-то там приложение вконтакте отношения ко всему вконтакту! Давать объявления на нерелевантные страницы запрещено правилами адвордса; здесь явно поленился или протупил модератор гугла). Ну и старый добрый «косяк» наших ОПСОСов, позволяющих подписку на всякое г… но любым способом.
                                                                                                    0
                                                                                                    > Здесь косяк гугла
                                                                                                    Не согласен, каждый клиент AdWords вправе рекламировать свои приложения на любом сайте, где возможно их размещение. Да, сотрудники AdWords модерируют новые домены новых клиентов. Но, изначально, уверен, что было закачено безобидное приложение.
                                                                                                    Промодерировать все рекламные объявления (и изменения в них) очень сложно. Для этого нужно было бы значительно расширить штат AdWords + наша специфика еще в том, что они должны быть русскоговорящими.

                                                                                                    > Ну и старый добрый «косяк» наших ОПСОСов
                                                                                                    Это суждение тоже спорно. Через мобильные подписки работают много сервисов в сети. На такие разводы тратится много сил и времени. Сайт, на который зарегистрирована данная подписка tooportal.com с первого взгляда не внушает никакого недоверия у провизоров, выдающих доступ к четырехзначным номерам. А непосредственно заставить пользователя ввести смс или оформить подписку уже можно на любом сайте — и проверить это никак невозможно!
                                                                                                      0
                                                                                                      Да, каждый клиент имеет право рекламировать приложения, но именно как приложения. Здесь же по запросу vk.com, по которому клиент однозначно ищет сам вконтакт, идет реклама приложения, замаскированная под рекламу вконтакта. Явный косяк менеджера гугла.
                                                                                                      И вот не надо про «сложно промодерировать», они бабло лопатой гребут, в том числе из России.
                                                                                                        +1
                                                                                                        Есть целые программы, которые генерируют красивые рекламные объявления на 100к ключевых слов. Модераторы должны перечитывать этот бред?
                                                                                                          +1
                                                                                                          Ну вообще перечитывают.
                                                                                                          И да, должны, даже просто-таки обязаны по закону о рекламе.
                                                                                                    0
                                                                                                    В тюрьму бы их, по статье 159 пункту 4.
                                                                                                      0
                                                                                                      Ну или более радикально, методом тов. китайцев — публично расстрелять.

                                                                                                      Вот кому по шапке настучать бы, так это опсосам, с хрена они не проверяют источник подписок? Хотели бы — давно закрыли кормушку мошенникам, а так свою выгоду тянут, и реагируют постфактум.
                                                                                                      • UFO just landed and posted this here
                                                                                                          0
                                                                                                          Полностью согласен. Абсолютно бесполезная функция в эпоху копеечного интернета. Или оставить на строго-бесплатной для клиента оператора основе.
                                                                                                            0
                                                                                                            Как это бесполезные, они приносят кучу бабла операторам и мошенникам.
                                                                                                              0
                                                                                                              Бесполезная для абонента.
                                                                                                                +1
                                                                                                                Как будто операторов заботит полезность для абонента. Тем более в наших странах народ привык быть терпилами. И после того как заметят утечку бабла, даже будут благодарны операторам, что отключили, единицы потребуют компенсации или подадут в суд, за такое подключение без спроса. Ну максимум пожалуются в инете.
                                                                                                                • UFO just landed and posted this here
                                                                                                          0
                                                                                                          Мечты-мечты. Вспомнил, что нет уже смертной казни…
                                                                                                          • UFO just landed and posted this here
                                                                                                        0
                                                                                                        Странно. Ведь правила адвордс запрещают давать рекламу на не принадлежащий вам сайт. К примеру нельзя дать рекламу на свой аукцион в ебае. Можно просто написать жалобу на эту рекламу в гугл и весь аккаунт адвордс будет благополучно закрыт.
                                                                                                          0
                                                                                                          На аукцион покупать рекламу нельзя. А на свое приложение, вроде как, можно.
                                                                                                        • UFO just landed and posted this here
                                                                                                            0
                                                                                                            Затем, что взломав Ваш Вконтактик деньги с Вашего телефона\карточки не спишешь, а им хочется именно этого
                                                                                                            +2
                                                                                                            На днях познал чудо вежливых ОПСОСов в Тае. Какая та подипска врубилась, месяц шли смски, я думал просто спам, тем более текст на тайском. Баланс просел, по детализации узнал, что 10р за смс брали, ежедневную. Написал на емейл оператору, и Одного письма хватило, чтобы мне вернули деньги, оператор отключил услугу и заставил поставщика вернуть все деньги в течении 24 часов. Я прям в восторге, вспоминая как по таким темам нужно бадаться с мтс и мегафоном, с которыми и в суде частенько проигрывают.
                                                                                                              0
                                                                                                              Имхо это вина Google.
                                                                                                              Они же модерируют рекламные ссылки, поэтому должны такие ссылки проверять и отсекать.
                                                                                                              Там даже если вы уже в показывающемся обьявлении изменили ссылку, то она опять идет на модерацию.
                                                                                                              Вообще в Adwords сейчас ерунда творится какая-то, такое ощущение складывается что они там все заодно.
                                                                                                              Они блокируют ссылки, например о заработке в интернет, но рекламируют всякие Форексы и вот такие фишинговые сайты.
                                                                                                              Имхо Google Adwords с такими фишинговыми рекламодателями вместе работают.
                                                                                                              Мы вполне невинный сайт не можем рекламировать в Adwords (залочили аккаунт), а тут чистый фишинг на ура проходит.
                                                                                                              Никаких других объяснений я таким вещам не нахожу.
                                                                                                                –2
                                                                                                                Есть один, так называемый «лайфхак» для браузера. Что бы браузер не искал введенный URL в поисковике, поставьте в конце URL'а "/". Например не «vk.com», а «vk.com/» и да прибудет с вами сила!
                                                                                                                  0
                                                                                                                  Тогда уж http:// еще сразу дописывать. Или же поиск из адресной строки отключить.
                                                                                                                    0
                                                                                                                    Согласен, но «http://» — 7 символов, а "/" — один
                                                                                                                  • UFO just landed and posted this here
                                                                                                                      +2
                                                                                                                      Не хромом единым жив человек =)
                                                                                                                      0
                                                                                                                      Не понимаю, за что минус. Вроде и дело подсказал. Не нравится — не пользуйся!
                                                                                                                      0
                                                                                                                      Вот оказывается по какой причине мне раз в неделю во вконтакт приходят сообщения «Куплю ваше приложение».
                                                                                                                        0
                                                                                                                        Здрассте, опомнились, схеме уже больше года и есть множество более изощрённых её модификаций, чем банальный слив трафика с adwords.
                                                                                                                          –1
                                                                                                                          Ничего нового, так работают уже года два. Евгений, вы бы за свою безопасность прежде всего опасались, размещая подобные статьи со своего реального аккаунта. Засветы в твитере, засветы на ачате, да и много где еще… Вам по голове не погладят те, кого интересы вы затронули в данной статье. А это и ОСС и КП и партнерки. Кстати, вы и сами, я смотрю, вирусней занимаетесь, судя по ачату. В общем, вы в теме, что называется… и как вы догадались разместить подобное в паблике- загадка. Возможно за деньги, но тогда вы бы хоть акк левый использовали бы! Думать надо, думать…
                                                                                                                          • UFO just landed and posted this here
                                                                                                                              +1
                                                                                                                              Что вы за бред написали. К тому же мне это ни к чему. Просто удивляет подобная халатность человека.
                                                                                                                              +1
                                                                                                                              Ничего нового, так работают уже года два.

                                                                                                                              Судя по вашей осведомленности, вы один из тех, чей доход я понизил своим постом. Ну извините. Ищите новые темы.

                                                                                                                              Судя по тому, что вы не понимаете иронии комментария: "По IP вычислите?" (чуть выше) — и тому, что вы предлагаете мне бояться непонятно чего, вы:
                                                                                                                              — неудачник лет 30-40, выросли в совке,
                                                                                                                              — не научились делать ничего, что приносило бы пользу людям,
                                                                                                                              — паразитируете на успехе других (фишинг ВКонтакте),
                                                                                                                              — боитесь всего (на всяких случай) — даже писать комментарии под своим именем.

                                                                                                                              Извините, но у нас с вами слишком разное мировосприятиее, чтобы я мог объяснить вам, зачем я написал этот пост. Я даже не буду пытаться. Мне бояться нечего, а вы бойтесь (ну на всякий случай, зачем от привычек отходить).
                                                                                                                                0
                                                                                                                                Да, я не понимаю иронии в фразе «вычислите по IP», ничего умного в этой шутке не вижу. Я не мент, чтобы по айпи людей пробивать, хотя, конечно, это тоже вариант, если вы впн не используете. И мне не понятно ваш негатив от моего комментария, я всего лишь вам дал совет, на мой взгляд, весьма не плохой, к которому можно было бы прислушаться. Ибо ваших реальных друзей я вычислил за 10 минут чисто для спортивного интереса, а через них и вас найти не проблема. Суть поста в том, что вы пишите о безопасности других, а на свою анонимность начхали- смешно. Я вам не предлагаю бояться, я вам предлагаю относиться к своей безопасности более серьезно, что, собственно говоря, вы так же предлагаете в своем посте другим юзерам. Не хотите прислушиваться- ваше дело. Можете продолжать дальше иронизировать на тему Айпи и строить нелепые догадки относительно меня. И где вы увидели, что я как-то негативно отношусь к вашему посту? Для людей это безусловно полезно. Не нужно додумывать.
                                                                                                                                  +1
                                                                                                                                  В вашем комментарии читается угроза. Это неприятно. Отсюда и негатив с моей стороны.

                                                                                                                                  Как вы вычислили моих друзей, я знаю. Вы смогли это сделать, потому что я не считаю необходимым шифроваться. Я совершенно обычный скучный человек, который никому не нужен.

                                                                                                                                  Что касается вашего совета — ок, я его услышал. Но я не считаю, что анонимность и безопасность — это одно и то же. Иногда публичность — синоним безопасности.

                                                                                                                                  Что касается шутки про ip — так школьников лет 10 назад пугали на форумах и в чатах. В контексте вашего комментария выглядит очень смешно =)).
                                                                                                                                    0
                                                                                                                                    Вы переехали доргу мафии. Все. Вам конец =D
                                                                                                                              0

                                                                                                                              Only users with full accounts can post comments. Log in, please.