Все вы знаете о такой абстрактной вещи как «халява».
Возможность получить какую-то вещь бесплатно, пусть даже ненужную, собирает в интернете целые форумы единомышленников. Часть из этих предложений требуют неких активных действий, таких как регистрация, прохождение тестов, ввод данных. И по большей части это взаимовыгодный обмен как для фирмы (получение данных о целевой аудитории), так и для человека (бесплатная безделушка). Но в некоторых случаях люди предоставляют многие личные данные взамен на магнитик/кружку/блокнотик. И этими данными могут воспользоваться.
Стикеры ВК — занятная вещь, не правда ли? Красивые односложные ответы, оформленные в виде картинок, которыми можно отвечать в диалогах. Многие тратят деньги за возможность получить стикеры а некоторые получают их бесплатно, и именно возможность бесплатно получить стикеры (то чем ты редко будешь пользоваться
Сегодня мне пришло сообщение от одного из друзей вк о возможности получения бесплатных стикеров.
При отправке сообщения боту он пишет чтоб вы поставили лайк и отправили ему сообщение. Пробуем просто отправить ему собщение.
Всё прошло. Теперь он просит отправить сообщение 15 друзьям и написать ему. Пробуем просто написать ему
Пишет, что мы жульничаем, но мы понимаем что бот без подтверждения через VK API и получения прав доступа не сможет читать наши сообщения, пробуем просто написать «Выполнил» и ура, осталось перейти по непонятной ссылке и получить стикеры.
При переходе на ссылку, после редиректов нас выкидывает на неплохо визуально оформленный сайт с предложением войти через вконтакте чтобы наконец уже получить заветные стикеры.
При нажатии на кнопку идёт переход на страницу с модальным окном входа и уже установленным фавиконом из вконтакте. Внимательный пользователь заметит неверный адрес в адресной строке и то, что ранее мы уже были авторизованы вк.
Также для любознательных отключён вызов контекстного меню и выделение.
Данные отсылаются POST запросом на этот же адрес.
Идём во встречу, на которую нам присылали ссылку
В ссылках — реальная страница «Кока-кола», а организатор встречи — левая закрытая группа. Но оформлено всё более чем правдоподобно.
Что мы имеем:
Более 15000 просмотров записи, более 3400 лайкнувших запись, а значит отписавших боту.
Возможно это самый крупный слив данных ВК за этот год. В поддержку я уже отписал, жду ответа.
UPD: Написал в поддержку и через минут 15
Какой-то вывод? А нет его. Вспоминая знаменитую фразу Мавроди, люди, относящиеся к вопросу своей безопасности лояльно, не кончатся никогда, можно сделать предположение что похожих групп будет создано много. А что касается защиты — достаточно помнить слова венеролога: смотрите что и куда вводите.
UPD 2 (для комментариев): Вопросы грамотности населения в области компьютерной безопасности можно и нужно освещать, ведь
