Как стать автором
Обновить

Особенности национальной SMS-авторизации

Время на прочтение6 мин
Количество просмотров30K
Всего голосов 50: ↑48 и ↓2+46
Комментарии78

Комментарии 78

Возможно, я «криптоманьяк». Но с самого начала, как стали форсить SMS привязки разных сервисов и авторизаций, я не понимал, КАК это можно привязывать, если SMS также надёжны как электронная почта и менее защищены, чем электронная почта!
SMS также надёжны как электронная почта

Ах, если бы.
Когда уже закопают это чудовищно громоздкое, дорогущее и столь же чудовищно убогое решение...

Надежны? Вы шутите?
Номер телефона, к которому теперь призывают привязывать вообще все, но который будет у тебя отобран через месяц его неиспользования, это не просто ненадежно, это крайне ненадежно.
Именно так произошло уже с несколькими моими номерами, т.к. телефоном я пользуюсь не часто и он может лежать у меня месяц выключенным, например, однажды я просто обнаруживаю, что сим карта не регистрируется в сети. И хорошо, что у меня ничего к этим номерам не было привязано, иначе я потерял бы вместе с номером телефона еще и привязанные к нему аккаунты.
То, что потерянные таким образом номера впоследствии передаются другим абонентам, тоже не новость, поэтому привязка аккаунтов к номеру это не просто ненадежно, это еще и небезопасно.
Простите, я имел ввиду, «ненадёжны», т.е. «надёжны» как сеть плохо настроенных MTA. Как раз я и удивляюсь, как можно форсить такую шнягу, предлагая заменять ей одноразовые пароли!
SIM-карты дезактивируются спустя 4-6 месяцев отсутствия расходных операций. А потом ещё около месяца лежат в отстойнике. Никто через месяц SIM-карту не отключает, это всего лишь ваши фантазии. Вам любой представитель оператора тоже самое напишет.
Суть не в количестве месяцев, а в самом факте.
Вон у меня лежат старые email аккаунты, которыми я не пользуюсь уже много лет, однако я не хотел бы, чтобы они ушли кому-либо, потому, что на эти адреса у меня еще могут быть зарегистрированы какие то аккаунты. Аналогия, надеюсь, понятна.

Ну и по поводу деактивации, расскажу о ситуации, которая произошла буквально несколько месяцев назад.
Была у меня симка мегафона, купленная в Москве, ну и уехал я с ней в свой город, симка стояла во втором слоте телефона, я ей почти не пользовался, только принимал sms, да поддерживал положительный баланс. На эту симку у меня был оформлен мобильный банк, а так же был зарегистрирован watsapp. Симка была всегда онлайн, телефон не выключался. И однажды она просто перестала регистрироваться в сети, совсем. Я тогда подумал, что это временные проблемы у мегафона, но нет, симка не заработала не через неделю, ни даже в других телефонах.
Номер watsapp я потерял, но не велика потеря, он мне не особо и нужен был, и доступ к мобильному банку я тоже потерял, мне пришлось ехать в офис сбербанка и привязывать другой номер.
Можно было, конечно, пойти в мегафон, разбираться, восстанавливать, но я не стал, я ту симку только ради мобильного банка держал.
Из всего этого я просто сделал для себя некие выводы о «надежности» номера телефона и что доступ ко всему, куда он привязан можно однажды очень внезапно потерять.
Безусловно, номер телефона — это не совсем надёжное средство. Много нерадивых сотрудников работает в разного рода салонах связи, которые могут в мгновение ока обокрасть баланс телефона или помочь в краже персональных данных для взлома иных сервисов.
Поддерживаю, аналогично повела себя симка МТС.
Email-аккаунты, которых Вы не оплачиваете, никому не мешают, ибо их пространство имен огромно. Пространство же телефонных номеров достаточно мало, и операторы, которые когда-то не обращали внимания на годами не оплачиваемые номера, уже давно вынуждены заставлять пользователей платить за сам факт обладания номером, иначе народ на халяву наберет по нескольку номеров, и пространство закончится.
вы, может, удивитесь, но ещё совсем недавно старые email-ы тоже удалялись.
Например ящик на mail.ru удалялся через год неиспользования.

Не удивлюсь, если это и сейчас происходит.
PS в принципе логично, что бы и емайлы чистились — иначе нашим внукам придётся тяжело… все логины-то заняты!
тогда стоит привязывать пользователя к номеру пенсионного свидетельства, который не поменяется с долей 99,99%.
но встает проблема, как это сделать и как это проверить потом?
и опять возвращаемся на исходную позицию, мыло и мобильный номер — самое удобное средство идентификации.
Второй год подряд не получаю смс с 50% нужных сервисов. Тинькоф банк, ВСК-страхование, амазон и другие.

Ситуация точно такаяже. Сервисы говорят что все ушло(даже дают номер транзакции), оператор говорит что до оборудования смс не дошло. Проблему решить не удалось на данный момент. Оператор билайн.
НЛО прилетело и опубликовало эту надпись здесь

Вы столкнулись с немного другой проблемой.
"Чистых" номеров у сотовых операторов давно нет, а предпродажную подготовку проводят крайне вяло, так что на вашем "новом" номере могут быть услуги (подключённые предыдущем владельцем), он может быть в списках различных служб (которые будут вам названивать), и т.д.
С IP адресами аналогичная история, вы берёте хостинг, или провайдер выдаёт вам IP, а он оказывается в десятке популярных блэклистов.


СMC от различных ресурсов, обычно, не приходят просто потому, что их провайдер CMC-шлюза не заключил договор с вашим оператором.

А если моему номеру уже десять лет? Не спишешь ведь на то, что только купил и кто-то там раньше..

Вот-вот, моему номеру (мегафон) уже 13 лет (сим карта не менялась), и ТОЧНО нельзя сказать, что этой симкой кто-то ещё пользовался или заявления давал.
Ждём в скором времени объявлений: «продам сим-карту, 10 лет, б/у, не бита не крашена, 1 хозяин»
Да я читая комментарии к статье уже пришел к выводу, что мой текущий контрактный номер, купленный новым у оператора 17 лет назад, помимо просто статуса «единственный постоянный номер у меня» может приобрести еще и какую-то осязаемую материальную ценность :)

Автору статьи респект за жалобы в ФАС (антимонопольщики?) на спамеров. Эти твари реально теряют страх что с рассылками, что с обидками.
Иногда сталкиваюсь с похожей ситуацией, только с другой стороны, со стороны сервиса.

Тоже отправляем смски через sms.ru и редко кто-нибудь пожалуестся, что ничего не приходит.
Смотришь в отчет, вроде все отправлено и даже «доставлено». А человек говорит, что ничего не приходило.

Причем это происходит не массово или «по времени», а у определенных людей на постоянной основе.
Интересно было почитать!
Я как-то боролся с банком (тогда был ещё такой ТрансКредитБанк, ныне вошёл в ВТБ24), что у них перестали проходить платежи за интернет от Ростелекома. Аналогично чуть ли не целое расследование провёл, узнал, где проблема, где у них в шаблонах и какой параметр нужно исправить, и чуть ли не по прямым телефонам уже звонил банковским специалистам — но так и не смог пробить эту огромную бюрократическую и ленивую машину. Заработало потом как-то, пару лет прошло при этом.
Но тогда было проще — там в интернет-банке было больше технической информации видно (если захотеть), а сейчас — почти ничего.
После крайнего полученного уведомления


Вы парашютист? Если серьезно, после прочтения данного куска задумался о каком именно крае в списке уведомлений идет речь, перечитал еще раз, вновь не понял почему «крайний» и только через несколько десятков секунд вспомнил об этом модном предрассудке менять «последний» на «крайний». Может стоит, создавая статью на техническом и более-менее серьезном ресурсе (это даже не гиктаймс) отринуть таки предрассудки и использовать слова по назначению? Тем более предложением ранее используется «последний».
Это эвфемизм. Вполне допустимая во многих языках форма речи.

К тому же, слово «крайний» имеет в своем толковании значение «предельный», что вполне согласуется с уведомлениями — предельное полученное уведомление.
Теперь вы меня завесили попытками представить последовательность уведомлений, стремящихся к какому-то пределу. А еще по исходному смыслу слово «крайний» обозначает «расположенный с краю» (внезапно!), то есть, в том числе и первый. По смыслу то, конечно, можно догадаться, но зачем вы на ровном месте путаете своих читателей?

А насчет эвфемизма… Ну буду лукавить, не открывая ссылку, сходу, толкование слова не дал бы. Но, открыл ссылку и вижу:

нейтральное по смыслу и эмоциональной «нагрузке» слово или описательное выражение, обычно используемое в текстах и публичных высказываниях для замены других, считающихся неприличными или неуместными, слов и выражений


Скажите, пожалуйста, что неприличного или неуместного в точном слове «последний»? Если вы конечно не парашютист и у вас нет профессиональных предрассудков?
Ну а я вот, например, связан с ВКС РФ, поэтому также привык не говорить «последний», когда за этим гипотетически может последовать что-либо еще (например, крайний глоток чая, но мой последний урок в школе). Другими словами, я рассматриваю эти слова как синонимы (к слову не только я, в словарях синонимов [например, авторства Абрамова] — эти слова тоже связаны синонимичной парой), которые при этом имеют различный смысловой окрас.
Извините, не сразу понял, что Вы не автор. Так что Вы читателей не путаете. Вы поддерживаете того, кто путает :-)
> Тем более предложением ранее используется «последний».
Ну вот, автор в панике уже стёр это слово… И не ответил еще ничего, может это и правда было его последнее слово?
начиная со дня последнего уведомления от данного сервиса, найденного мной на телефоне. После крайнего полученного уведомления


Напраслину возводите. Ничего не стерто.
Моя ошибка) искал «последний»
Русский язык ужасен для поиска по тексту своими падежами, склонениями и прочими словоформами. А еще бывают заглавные буквы. Я себя давно уже приучил в подобных случаях искать по подстроке типа «оследн».
Меня пугает то, что теперь я никогда не буду уверен в том, что своевременно получу доступ к своему аккаунту. Причем не только на этом сервисе, но и на каком-либо другом. Мой мир больше никогда не будет прежним.
А раньше были уверены?
Сложный но возможный перехват через SS7, достаточно легкое получение дубля симки третьими лицами, относительно недорогая левая сота для перехвата, подключение сервисов у оператора типа смс-про в ЛК с последующим прочтением смс-ок там.
Не, современные смс это не просто отсутствие уверенности что Вы получите доступ к своему аккаунту, это уверенность в том, что этот доступ у Вас относительно несложно перехватить.
НЛО прилетело и опубликовало эту надпись здесь
Потому что телеграм тоже зависит от смс. Уж лучше тогда электронная почта, подписанная и зашифрованная pgp.
Потому что телеграм тоже зависит от смс.

А как зависит?

Telegram, Whatsapp! — нормальные открытые API, возможность работы с ними без телефона (особенности регистрации и авторизации хостов оставим за скобками) — есть и приложения и вебморды. Приемлемые возможности для бесплатных рассылок…
Правда почему-то на просторах СНГ многие как альтернативу СМС используют Viber, но то такое — скоро мне надоест блокировать в нем спамеров и уйдет сам этот мессенджер.
НЛО прилетело и опубликовало эту надпись здесь
Хорошо вы придумали выставить за скобки самую большую уязвимость этих мессенджеров. Для целей авторизации они тупо лишнее звено, и используются только потому, что рассылать в них дешевле, чем СМС. Но это проблемы рассылающих, мне же, как принимающей стороне, глубоко плевать на эти сложности. Я не хочу, чтобы банк экономил 3 копейки на рассылке кодов авторизации, доверяя их третьему лицу.

Постоянная рассылка СМС с непрогнозируемым результатом доставки — это нормально, а разовая регистрация в мессенджере через СМС — уже нет? Особенно с учетом того, что таки сделать клона СИМки на постсоветском пространстве проще пареной репы?

У меня сейчас в соседнем окне запущены вебморды этих мессенджеров — это намного удобнее, чем читать и писать на смартфоне. Вайбер только в смартфоне, т.к. у него нет вебморды, а аплекуху ставить в текущей ситуации не вариант. Всегда можно проверить имеющиеся сессии и если кто-то будет пытаться авторизовать новый хост под твой аккаунт, то получишь СМС на телефон и сам мессенджер ругнется.
НЛО прилетело и опубликовало эту надпись здесь
Я разве где-то написал, что выступаю за СМС?

А за что Вы выступаете? Пока что вижу только попытку довести обсуждение до абсурда.
Если владельцы мессенджеров захотят, то вы ничего не получите.

Владелец любого сервиса может «захотеть» и Вы через этот сервис ничего не получите.
Так что? Только конверты с сургучной печатью фельдегерем из рук в руки? Так и такую отправку Вы можете не получить по «хотению» какого-нибудь ФСО или ФСБ.
НЛО прилетело и опубликовало эту надпись здесь
Генератор одноразовых паролей на устройстве.

На каком устройстве? Сколько их (устройств) стандартов существует? Зачем весь этот «геморрой» 99,9% пользователей услуг в Интернет?
Электронная почта централизованно никем не контролируется, можно поднять почту на своём домене.

В Украине заблокировали яндекс и малосру.

Традиционно уведомления от сайтов гарантировано не доходят на ящики в яху и малосру. У меня клиент российский есть — он зимой долго пытался прогнуть меня и мой сайт, чтобы почта доходила ему в ящик на малосру, но потом все-таки сдался и завел новый ящик в гугле.

Свой домен? Мой домен (5 активных ящиков) явно уже где-то заблокирован благодаря спамерам (какие только алиасы они не придумывают при отправке фейковых писем якобы из моего домена :)), и незнании админов серверов-получателей о проверке обратной зоны и тому подобного. Опять же РКН или его аналог в других странах может заблочить эту почту при «бомбардировке по площадям». И «мелочевка» типа меня, тебя, и вон того Васи, ничего добиться не сможет — надо менять сервер, хостинг-провайдера, все настраивать заново и т.д.

Зачем заводить и администрировать свой домен 99,9% пользователей Интернет? Людям нужен легкий и удобный способ коммуникации бесплатно с нулевым администрированием и с достаточным уровнем безопасности. Понимание достаточности у всех разное.
НЛО прилетело и опубликовало эту надпись здесь
Любой поддерживаемый на любое поддерживаемое.

Сразу все стало понятно. Даже предпочтений нет.
Проблема жителей стран, которые выбрали такое правительство и своим бездействием поддерживают данное решение.

Ну почему же? Это оказалось проблемой только для упоротых. Если у Вас РКН до сих пор не заблочил какой крупный сервис, то это дело времени — в Украине блочат по решению СНБО, а у вас шелупонь чиновничья по закону в досудебном порядке.
Эти получатели явно настолько мелкие, что на них можно забить. Крупные сервисы учитывают политики типа DMARC.

Не обольщайтесь — вероятность кривого админа почти не зависит от величины сервиса.
Будет лежать путь релея через него и по барабану значимость конечной точки.
У меня доходят.

«Никогда не говори никогда» ©
Проблема не в разовой регистрации, а в возможности потерять навсегда доступ к своим аккаунтам, потому что владельцы месседжеров считают, что владелец телефонного номер владеет аккаунтом. Итого добавлением сюда подобных месседжеров лишь только добавляет еще одно звено в уязвимую цепь.
Ну так это стандартные проблемы авторизации «аналоговых» homo sapiens в цифровой среде — надо найти компромисс между надежностью и удобством верификации особи. Сколько людей осилят постоянную верификацию себя любимого цифровой подписью или двухфакторной авторизацией или еще как?
Итого добавлением сюда подобных месседжеров лишь только добавляет еще одно звено в уязвимую цепь.

«Сюда» — это куда? Мессенджер из списка выше — это большая и солидная компания, для пользования сервисами которой надо авторизоваться и потом только иметь доступ к Интернету. Со смартфона, с компьютера или еще откуда — особого значения не имеет. А у автора проблема с какой-то локальной шарашкиной конторой, которая должна заключать договоры со всеми операторами, да еще и балуется рассылками спама и киданием обидок на возмущенных владельцев телефонов. Система, построенная на легионе таких вот прокладок-однодневок, нормально работать не будет никогда.

А уж строить идентификацию себя любимого с использованием припейд-номера может только не очень умный человек, ИМХО.

PS
Как там в РФ с контрактными номерами телефонов? Тоже «от балды» могут номер отобрать или хотя бы за месяц должны уведомить?
Тот самый телеграм, который недавно хотели запретить в России? Потерять связь со своим аккаунтом в таком случае еще более вероятно.
Наблюдаю похожий случай НЕдоставки SMS опсосом МТС.

Вкратце:
Оба абонента одного опсоса — МТС.
Домашний регион — одинаковый, Москва и Московская область.
Не доставлялись SMS в течение 14 дней. В апреле.
При этом, у отправителя в детализации (от опсоса) все SMS числятся отправленными (дата, время, стоимость и пр. инфа).
В детализации получателя все входящие SMS отсутствуют напрочь (отправленные есть).
За эти 14 дней НИКАКИЕ SMS не приходили и в детализации нет НИКАКИХ упоминаний о входящих SMS за этот период.

Забавно то, что переписка с опсосом МТС на эту тему продолжается 3 месяца.
Каждый раз отвечает новый сотрудник — наверное, в МТС внедрен генератор произвольных имен в подписи.
В общем случае, сообщения от МТС выглядят комбинацией фраз:
— пожалуйста, не волнуйтесь
— искренне надеемся, что данная ситуация не отразится на нашем дальнейшем сотрудничестве
— информация по данному вопросу передана в соответствующий отдел нашей компании
— с Вами обязательно свяжутся наши специалисты и проинформируют Вас о принятом решении
— приносим извинения за несвоевременное предоставление ответа на Ваше письмо

Естественно… «Специалисты» НЕ связываются и НЕ информируют.
Технических подробностей — никаких, несмотря на четкие и точные запросы в письмах к опсосу.
НЛО прилетело и опубликовало эту надпись здесь
Странно, я ведь сразу дал ответ на вопрос о том кто блокировал рассылку. Об этом свидетельствует и то, что никто, кроме Вас, не попросил это уточнить.
Впрочем, мне не сложно описать ситуацию более подробно:
сервис, от которого я желал получать sms-уведомления, не стал утруждать себя разработкой собственной системы для рассылки уведомлений, а арендовал услуги по рассылке у другой компании, специализирующейся на рассылках (назовем ее — sms-провайдер). Помимо милого моему сердцу сервиса, этот sms-провайдер оказывал услуги и спамерам. Когда я получал спам типа «ремонт стиральных машин недорого», я отправлял жалобы на этот спам в ФАС, что доставляло хлопоты sms-провайдеру, т.к. его каждый раз «трясли» антимонопольщики в своем стремлении покарать нарушителей законодательства о рекламе. Ничтоже сумняшеся sms-провайдер, вместо того, чтобы прекратить нарушать действующее законодательство (и начать интересоваться у клиентов наличием разрешений на рассылку, полученных ими от пользователей), заблокировал все рассылки на номера тех, кто жаловался в ФАС на нарушения. Всё было бы хорошо и я бы жил без спама долго и счастливо, но, помимо спамеров, среди клиентов sms-провайдера оказался и сервис от которого я очень хотел получать сообщения и с которым я, ради этого, заключал специальное соглашение.
Таким образом, виноваты, в первую очередь, нарушавшие закон спамеры, включавшие в списки рассылок пользователей, не дававших свое разрешение на получение рекламных материалов. Но привлечь к ответственности спамеров очень трудно, это могут быть фирмы однодневки, ликвидированные сразу после рассылки.
Во вторую очередь виноват sms-провайдер, который, вместо того, чтобы запрашивать у клиентов согласие на получение рассылки для каждого номера, предпочел запихивать борцов с беззаконием в черный список.
Соответственно, проблемы можно было бы избежать на разных уровнях цепочки:
Во-первых, сервис с которым у меня заключено соглашение, мог бы не прибегать к услугам sms-провайдера, а организовать собственную систему рассылки, или выбирать sms-провайдера более осмотрительно. Но и то и другое — дополнительные хлопоты, да и отличить проблемного sms-провайдера заведомо невозможно.
Во-вторых, sms-провайдер мог бы запрашивать у своих клиентов разрешения на рассылку сообщений от каждого получателя, или, хотя бы, не распространять стоп-лист на тех клиентов, которые заказывают не массовую рассылку, а отправку кодов. Это тоже хлопотно, но более рационально. К тому же, судя по всему, они уже прекрасно умеют автоматически отличать спам от кодов авторизации. Т.е. им остается лишь немного доработать этот же алгоритм распознавания, чтобы стоп-лист не распространялся на рассылку кодов.
НЛО прилетело и опубликовало эту надпись здесь
Как это невозможно? Это очень легко сделать техническими методами: ведь, если один и тот же текст просят разослать нескольким десяткам пользователей, то это явно не разовый код авторизации и рассылку можно смело блокировать.
Рассылка уведомления клиентам сервиса о его (сервиса) статусе или новости о новом функционале будет подпадать под этот фильтр.

Хотя тут меня и минусят за упоминание Telegram, но мне нравится подход этой среды к данному вопросу:
— управлять посредством API можно только ботом;
— бот может писать только в канал и тем персонам, которые ранее сами ему написали сообщение;
— соответственно, для получения рассылки от данного бота персона сама должна подписаться на определенный канал или написать данному боту.

Для СМС-информирования такой механизм невозможен, к сожалению.
Рассылка уведомления клиентам сервиса о его (сервиса) статусе или новости о новом функционале будет подпадать под этот фильтр.
И замечательно, по сути, это ведь та же реклама. Постарался вспомнить такого рода сообщение без которого я бы не смог прожить и не смог. Главное, ведь, чтобы смс-пароли не фильтровались. И проверка уникальности сообщений вполне решит эту проблему.
А замечательного что? У компании работает онлайн-сервис и его надо закрыть на обслуживание или добавляется новая крайне важная фича — об этом необходимо поставить в известность пользователей сервиса. Это будет массовая, не персонализированная рассылка, востребованная клиентом.
Повторюсь, за годы использования веб-сервисов я ни разу не получал смс-уведомлений о закрытии на обслуживание или новых функциональных возможностях. В любом случае, разумнее блокировать только однообразные рассылки, нежели ВООБЩЕ ВСЕ, как произошло в ситуации с которой я столкнулся.
НЛО прилетело и опубликовало эту надпись здесь
Вы опять невнимательно читали? Причиной проблемы стало то, что компания блокировала абсолютно все сообщения на мой номер, включая и все перечисленные вами:
Информация о персональных предложениях по кредитам, коды подтверждения транзакций, восстановления паролей, рассылки курсов валюты, погоды, просто технические уведомления от каких-то сервисов — все это шаблонные сообщения, в которых есть текст и какие-то цифры, которые могут меняться.
Почему Вы меня обвиняете в том, что я предлагаю их блокировать? Я, наоборот, ищу возможность их получать, в ситуации, когда компания не находит ничего лучшего как их блокировать.
Я в каждом комментарии (0, 1, 2, 3) говорю о том, что блокировать все рассылки не нужно. Достаточно блокировать лишь рассылки с идентичным текстом типа «ремонт стиральных машин в Ростове тел.». Именно полную идентичность рассылаемых сообщений я предлагаю использовать в качестве критерия для определения нежелательных сообщений. Такие сообщения идентичны для каждого получателя. Они не содержат какой-либо уникальный код. И у смс-агрегаторов (по крайней мере у того с которым связана описанная в посте проблема) уже есть работающие алгоритмы, позволяющие отличать сообщения с уникальными кодами от массовых рассылок.
НЛО прилетело и опубликовало эту надпись здесь
В этом случае отправка таких сообщений не будет нести угрозы смс-агрегатору, поскольку ФАС отклоняет заявления в которых содержится обращение по имени и не содержится объекта рекламирования. Мне вот постоянно отказывают в возбуждении дел:
на основании наличия обращения по имени

на основании отсутствия объекта рекламирования

НЛО прилетело и опубликовало эту надпись здесь
Мой мир больше никогда не будет прежним.

Надо переходить везде и всюду на цифровые сертификаты и авторизацию по электронной подписи, на стандарты типа PKCS#11. Сертификаты можно хранить в облаке.

Вы можете смеяться, но в штатах ситуация не лучше. И SMS провайдер, известный и большой, ничего не может сделать с фильтрацией трафика операторами. Вот захотелось им теперь блокировать исходящий номер, если с него отправляется больше 200 SMS в день и опачки. Можно использовать short code за $1000 в месяц.
Всем привет.

Так уж получилось что я работаю в СМС-агрегаторе, и действительно, могу подтвердить что сам СМС-агрегатор никогда не станет блокировать трафик просто так.
Причиной тому стала жалоба абонента на спам, в свою очередь, компания обязана добавить этого пользователя в стоп фильтр, который и отклоняет (в данном случае был пендинг) сообщения на который идет отправка. Этот фильтр не различает spam, otp, info, banking и т.п трафик и не выставляется на аккаунты определенных клиентов или поставщиков, т.е он является общим, вне зависимости от кого пришло это сообщение, и какому оператору будет передано.

И если вы ознакомитесь с договором, который подписывает СМС-агрегатор и клиент, там есть раздел посвященный стоп-фильтру, и если у компании был тикет по поводу спама на конкретный номер, она просто блокирует абонента, и в данном случае этот тикет будет трактоваться как нежелание конечного пользователя пользоваться услугами данной компании, и для разблокировки необходимо письменное заявление самого абонента.

Ребята выше еще спорили по повод безопасности.
a2p трафик как правило проходит несколько поставщиков, для примера, если вы ожидаете смс длительностью более чем 1 минуты — будьте уверены, это сообщение прошло как минимум двух поставщиков. О никакой безопасности не может быть и речи :)
Я даже более вам скажу, практически любой сотрудник компании имеет доступ к вашим сообщениям, как к прошлым (последние 6 месяцев) так и к будущим (роут схема).
Вы почему-то совершенно упускаете тот факт, что, в первую очередь, СМС-агрегатор обязан соблюдать действующее законодательство, т.е. не рассылать рекламу абоненту, который не давал на это предварительное согласие. А не прекращать рассылку спама лишь после того, как абонент сообщил о его нарушениях в ФАС.

Если бы СМС-агрегатор изначально соблюдал действующее законодательство, то пользователи не получали бы спам и подобных ситуаций не возникало бы в принципе.

Таким образом, трактовка обращения абонента в ФАС с сообщением о нарушении законодательства о рекламе как:
нежелание конечного пользователя пользоваться услугами данной компании
это никакая не обязанность, а элементарная уловка СМС-агрегатора, который не хочет соблюдать закон.
НЛО прилетело и опубликовало эту надпись здесь
Перед тем как добавить номер в базу рассылки необходимо запрашивать у того, кто просит добавить этот номер, письменное разрешение от владельца номера.
НЛО прилетело и опубликовало эту надпись здесь
Кто и у кого должен запрашивать это письменное разрешение?
По закону доказывание факта получения согласия на рассылку рекламы ложится на рекламораспространителя (реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено). Следовательно, о получении согласия должен заботиться в первую очередь рекламораспространитель. С позиции действующего законодательства рекламораспространителем является смс-агрегатор (лицо, осуществляющее распространение рекламы любым способом, в любой форме и с использованием любых средств). Рекламораспространитель имеет полное право требовать от рекламодателя предоставления документально подтвержденных сведений о соответствии рекламы требованиям законодательства о рекламе. Но хитро… умный смс-агрегатор не хочет тратить свои ресурсы на соблюдение закона. Он хочет только грести бабло.
Поэтому он переводит стрелки на рекламодателя.

напомню, ваш рассказ, начался с того, что вам было не удобно куда-то отправлять документы в бумажном виде
Да, но спам получать мне тоже неудобно. И если выбирать между необходимостью получения спама и необходимостью предоставления бумажного согласия сервису, от которого я хочу получать сообщения, то я предпочту последнее.
К каждому сообщению крепить файл со сканом и направлять его от отправителя к агрегатору? А агрегатору как проверять наличие и подлинность подписи на сканах?
Перед началом рассылки смс-агрегатор заключает договор с юрлицом или ИП:
в этом легко убедиться.

Что кроме элементарной неорганизованности и желания сэкономить на издержках, мешает на этом этапе смс-агрегатору прописать в договоре соглашение о том, какую информацию он будет рассылать?
Если клиент планирует рассылать только коды авторизации, то это вообще не реклама и никаких дополнительных подтверждений получать не требуется.
Если все же планируется рассылать рекламные материалы, то всегда можно запросить у рекламодателя наличие разрешений от нескольких пользователей, выбранных случайным образом.
Для рекламораспространителя, ведь, главное убедиться в наличии разрешений. Проверка подлинности подписи может происходить уже в суде и тогда, соответственно, того кто предоставил документ с поддельной подписью (т.е. рекламодателя), привлекут за это к ответственности.
Я как-то рассылал email-приглашения на семинар через сервис email-рассылок (unisender), так мне модераторы этого сервиса душу вытрясли, перед тем как принять рассылку: я им и сканы анкет пользователей отправлял, в которых получатели давали разрешение на получение информации о новых семинарах, и скриншоты из админки со списком тех кто подписывался через форму на сайте. И, несмотря на это, они по-прежнему проверяют текст каждой новой моей рассылки, перед тем как ее отправить. Так это сервис почтовых рассылок, а Вы меня хотите убедить, что те, кто смс отправляет не в состоянии подобные проверки проводить?
Да, и как будут работать интернет-сервисы? Откуда у них сканы с подписями? (авторизация, восстановление паролей, технические уведомления и т.п.)
Да прекрасно они будут работать, поскольку технические уведомления не содержат объекта рекламирования и, следовательно не подпадают под положения действующего законодательства о рекламе.
Я надеюсь вы знаете, что львиная доля агрегаторов работает по аутсорсингу, и как правило, если агрегатор знает что идет спам рассылка он не будет ставить свой прямой маршрут для данных сообщений, скорей всего он будет использовать либо «серый канал» (сим-боксы) либо альтернативного поставщика (например из Малайзии).
Я не знаю почему вы так горите по поводу спама в России…
1. С 14 года конверсия спам-рассылки упала в несколько раз
2. Повышение стоимости доставки сообщений
3. Операторы со второй половины 14 года начали использовать алгоритмы для блокировки трафика по ключевым словам.

Все эти факторы сделали спам рассылку не рациональной, операторы даже уже начали блочить трафик и добавлять в черный список симку и imei устройства, хотя раньше просто «замораживали» на пару дней.

Я еще забыл упомянуть, что некоторые агрегаторы работают на единой платформе с другими агреторами, и получается, что они постоянно обновляют базу стоп номеров, HLR и т.д.
Вы решили поделиться всем, что Вам известно о спамерах? Ну стал смс-спам нерациональным и что? Как это связано с предыдущими сообщениями в данной ветке? Вы пытаетесь жалость к спамерам вызвать?
Где-то с год назад украинская сеть ТЦ «Караван» переключила свой поток спама с СМС в Viber — гадят строго с номеров +7… И такие номера бесспорные лидеры моего спам-листа в Viber. Там конверсия тоже должна быть невысокой, т.к. блокировать спамеров намного легче, чем в СМС.
НЛО прилетело и опубликовало эту надпись здесь
Нарушают закон агрегатор вместе с контрагентами, а в чёрные списки включают получателей!

Судя по всему прямо сейчас агрегаторам плевать закон и возможность рассылки спама, пока им за это платят, их полностью устраивает.
Если смс-агрегатор думает только о том, как грести деньги лопатой и не хочет тратить деньги на доработку системы и соблюдение закона, то спорить, действительно, не о чем.
Но, агрегатор не умеет технически отделять одно от другого.
Действительно, это ведь так много ума нужно, чтобы написать и внедрить алгоритм сравнивающий каждые два-три соседних сообщения и блокирующий рассылку до выяснения обстоятельств в случае их идентичности. Только величайшие умы, подобные Дурову и Цукербергу, способны написать столь гениальный код! Просто таки невыполнимая задача!
Ваша идея, чтобы агрегатор запрашивал у рекламодателя анкеты с подписью получателя не состоятельна хотя бы потому, что договор заключается не на один пакет рассылки, а на постоянку.
Что мешает на стадии заключения договора спросить у клиента о том, какие сообщения он собирается рассылать? Собирается рассылать рекламу — заключаем договор типа А и блокируем все рассылки по черному списку, собирается рассылать коды — заключаем договор типа Б и не блокируем получателей из черного списка? Что тут сложного?
Может заключить договор типа Б, но обмануть и рассылать спам? Так для этого мы и сверяем все соседние сообщения, отправленные клиентами, сидящими на договоре типа Б, и блокируем рассылку в случае их идентичности, а затем отправляем текст на проверку сотруднику техподдержки. Тот проверяет текст на наличие рекламы и возобновляет рассылку, если видит, что текст не рекламный, а служебная информация.
Хоть вы и приводите пример, где они придумали такой костыль — вырезать цифры из текста, но, согласитесь, это лишь частный случай и их лайфхак для защиты от спама, если рассыльщик не ИП и не юрлицо.
Этот пример говорит о том, что на рынке уже есть примеры работающих бизнес-процессов в которых смс-агрегаторы прекрасно анализируют в автоматическом режиме текст отправляемых сообщений и умеют отличать служебные сообщения с уникальным кодом (а Вы тут утверждаете, что это технически не возможно). Если это реализовал один смс-агрегатор, то может реализовать и другой. Если другой не хочет тратить деньги на то, чтобы совершенствовать свой бизнес-процесс ради блага общества, то это уже другой разговор и нужно гнать его с рынка в шею.
Рассыльщик через API шлет серии SMS в любой момент, когда считает нужным.
Внимание! Вопрос: что мешает это изменить? Что мешает внедрить ту же схему, которую использует сервис почтовых рассылок, когда текст каждой рассылки клиентов сидящих на договоре типа А предварительно проверяется модератором? Что мешает предварительно запрашивать базы номеров по которым будет рассылка и запрашивать наличие разрешений от нескольких получателей, выбранных случайным образом? Почему компания рассылающая электронную почту может это организовать, а компания рассылающая смс — не может? Не верите? Зарегистрируйтесь сами у unisender и попробуйте отправить email нескольким сотням получателей. Они сначала запрашивают сканы разрешений от нескольких пользователей, а затем проверяют каждую рассылку перед отправкой. Не первый год. И все живы.
А если мы имеем цепочку посредников?
Цепочка посредников это не «система „нипель“». Если к нам уже пришла информация по этой цепочке, то мы всегда можем запросить и дополнительную информацию. Если мы слишком ленивые или жадные, чтобы это делать, то это, как уже говорилось выше, совсем другой вопрос.
Я конечно извиняюсь, но на каком сайте/сервисе где необходима смс верификация/аутентификация есть договор или положение про то, чтобы заключить с вами договор о том, что сервис отправит вам смс сообщение?) Звучит абсурдно, и передавать «разрешения» с каждым сообщением технически невозможно в силу ограничения протокола smpp.
А теперь смотрите, у агрегатора минимум 5 млн сообщений в сутки, это какие алгоритмы нужны, чтобы отличить и обработать эти сообщения, хотя бы на 4 основных языках?

Я все подробнейшим образом описал выше, сложно прочитать?
на каком сайте/сервисе где необходима смс верификация/аутентификация есть договор или положение про то, чтобы заключить с вами договор о том, что сервис отправит вам смс сообщение?
Еще раз повторяю: для рассылки технических уведомлений не нужно получать разрешений, поскольку они не подпадают под действие закона о рекламе. Такие разрешения нужно запрашивать лишь у тех, кто планирует рассылать рекламу. Что мешает сразу спросить у клиента, что он планирует рассылать, и, в зависимости от ответа, заключить договор типа А или типа Б?
Звучит абсурдно, и передавать «разрешения» с каждым сообщением технически невозможно в силу ограничения протокола smpp.
Никто и не просит передавать их по протоколу smpp. Что мешает внедрить ту же схему, которую уже несколько лет использует сервис почтовых рассылок, когда текст каждой рассылки клиентов сидящих на договоре типа А предварительно проверяется модератором? Что мешает предварительно запрашивать базы номеров по которым будет рассылка и запрашивать наличие разрешений от нескольких получателей, выбранных случайным образом? Почему компания рассылающая электронную почту может это организовать, а компания рассылающая смс — не может? Не верите? Зарегистрируйтесь сами у unisender и попробуйте отправить email нескольким сотням получателей. Они сначала запрашивают сканы разрешений от нескольких пользователей, а затем проверяют каждую рассылку перед отправкой. Не первый год. И все живы.
А теперь смотрите, у агрегатора минимум 5 млн сообщений в сутки, это какие алгоритмы нужны, чтобы отличить и обработать эти сообщения, хотя бы на 4 основных языках?
Еще раз: не нужно анализировать все сообщения. Если мы заведомо заключили договор на рассылку рекламы, то нет никакого смысла анализировать трафик от этого клиента. Остаются клиенты с договором на рассылку служебных сообщений. Можно просто сравнивать отправляемые ими сообщения попарно. Что в этом сложного? Уже ведь есть агрегаторы, которые в процессе рассылки анализируют рассылаемые сообщения на наличие кода, а попарное сравнение реализовать еще проще.
Еще раз повторяю: для рассылки технических уведомлений не нужно получать разрешений, поскольку они не подпадают под действие закона о рекламе. Такие разрешения нужно запрашивать лишь у тех, кто планирует рассылать рекламу. Что мешает сразу спросить у клиента, что он планирует рассылать, и, в зависимости от ответа, заключить договор типа А или типа Б?

Омг, вы в какой стране живете то? Что мешает клиенту сделать динамический отправитель Google/Facebook/Info и отправлять спам + ссылки в виде URL-short с постоянной генерацией в 200 сообщений — в таком случае ни один алгоритм не поймает такие сообщения.

Что мешает сразу спросить у клиента, что он планирует рассылать, и, в зависимости от ответа, заключить договор типа А или типа Б?

Договор заключается лишь один. Всегда. У всех. Будь это Балксмс или Твилио (одни из самых крупных агрегаторов, поставщиков апи).
Все остальное это тип трафика, который я описывал выше. И в зависимости от этого типа и выбирается канал, по которому будет идти отправка сообщений

Все ваше ниже сказанное не имеет значения, поскольку договор один, по факту, а то что вы себе напредставляли может не соответствовать реальности.
Клиент в одночасье может иметь два типа трафика по одному направлению, при это имея один и тот же договор.
Еще раз: Что мешает это изменить? Почему нельзя разработать две разных формы договора? Что мешает заключить с одним клиентом два разных договора по двум разным аккаунтам?
Клиент будет подписывать договоры «А» и «Б», потом слать трафик «Б» по аккаунту «А». Когда поступит жалоба от ФАС, то будет делать круглые глаза как

image

И никто не будет отказываться от такого партнера или жестко его штрафовать. Так как рынок таких услуг крайне неинтистуциален и непубличен, поэтому тут классические методы работы с партнерами не очень-то и работают.
А что мешает наделить аккаунты разными функциональными возможностями, исключающими путаницу трафика? С рекламного отправлять только с предпроверкой (unisender каждую мою массовую рассылку предварительно проверяют), а со служебного без проверки, но через алгоритм анализирующий траффик.

Недавно столкнулись с проблемой доставки смс у одного из сервисов. Смс на украинские номера перестали приходить, оказалось что украинские провайдеры блокируют смс со словом code.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации