В своей очередной статье мы поведём речь об услуге, вызвавшей у нас противоречивые чувства — UMS. Эмоции пользователей относительно этого сервиса совпадают с нашими. В момент запуска абоненты активно обсуждали новый сервис, писали анонсы, строили догадки относительно развития услуги, но энтузиазм быстро поутих. Но не будем торопить события и расскажем обо всём подробнее.
UMS (Unified Messaging Solution) – сервис, позволяющий общаться через популярные мессенджеры, социальные сети и электронную почту, получать и отправлять обычные SMS и MMS через единый интерфейс.
Так описывает опцию сам оператор в момент выпуска её на рынок. Изначально предполагалось выпустить приложение для смартфонов, дающее возможность писать смс, ммс, сообщения в Whatsapp и Viber, просматривать общую ленту всех социальных сетей, и вести в них переписку. Идея не новая, но великолепная. Больше не надо держать на смартфоне кучу приложений, постоянно путаясь в них и забывая отвечать.
Первые новости о запуске UMS приходятся на декабрь 2012 года. В официальных источниках говорится о том, что бета тестирование приложения продлится полгода и пользователи смогут его оценить, но на данный момент, спустя пять лет, приложения так и нет, хотя установить его на телефон официальный сайт предлагает. Также нам анонсированы следующие возможности:
На данный момент работает только портал UMS. В связи с этим описание услуги будем делать только для сайта.
Специфического подключения услуга не требует. Она доступна каждому абоненту Мегафон по умолчанию, но беспокоиться не стоит. Опция бесплатная и никак себя не проявляет. Пока вы не вошли на сайт, сервис для вас безобиден: деньги со счёта не снимает, мошенников не привлекает, личные данные не копирует. Для того, чтобы воспользоваться услугой, надо зайти на портал https://messages.megafon.ru/ . Регистрации не потребуется. Логин – ваш номер телефона, пароль используется тот же, что и в личном кабинете. Если вы его не знаете или забыли, то наберите *105*00# вызов . Пароль придёт в СМС. Можно задать свой комбинацией цифр *105*01*пароль#пароль# вызов . Для дополнительной безопасности на телефон высылается проверочный код для входа на сайт.
После этого вы попадаете в веб-интерфейс. Дизайн поражает минимализмом, совершенно не свойственным современным ресурсам. Опишем каждый раздел, который здесь присутствует.
Телефонную книгу вы можете загрузить c компьютера из файлов.xls или.csv в формате адресной книги Microsoft Outlook или Outlook Express. Возможно и обратное действие – перенос из интерфейса сервиса на компьютер.
Дополнительно в настройках настраивается автоматическая переадресация. Можно настроить как выборочную переадресацию, так и всех входящих. Фильтрация доступна по дням недели и времени суток. По такому же принципу создаётся правило для копирования входящих сообщений на другой номер.
Можно настроить и автоответ на смс. Если вы хотите автоответ сделать не на все номера, а только на избранные, то их придётся поместить в отдельную группу.
К каждому исходящему смс через сервис UMS можно настроить подпись.
Те настройки, которые сделаны в веб-интерфейсе, будут распространяться и на телефон. Например, сообщение, отправленное с телефона, тоже будет иметь подпись, если такая настройка сделана.
Многих интересует вопрос стоимости. Ценообразование простое: сообщения с UMS на UMS бесплатные, на обычные номера по стоимости тарифного плана.
Услуга UMS конфликтует с «СМС Фильтр». Одновременно они не могут быть активированы. Поскольку UMS подключена по умолчания, не лишняя будет информация о способах отключения.
Сделать это можно в личном кабинете https://lk.megafon.ru/login/ или отправить СМС с текстом ВЫКЛ на номер 5598.
Итак, подводя итог, можно резюмировать следующее: в теории сервис полезный, но реализован плохо. Создаётся впечатление, что его разработку забросили ещё в 2012. Широкие возможности управления сообщениями кого-то могут заинтересовать: массовая рассылка с подписью, переадресация, автоответы. Сфер применения этому множество. Это, пожалуй, единственный плюс сервиса.
Будьте внимательны с хранением сообщением в веб-интерфейсе. Это удобно, но были случаи мошенничества. Любой, получивший пароль от услуги, может просмотреть историю СМС, узнав пароли или, получая коды для активации подписки, за ваш счёт покупать контент или любые другие услуги и товары. В связи с этим будьте бдительны. Не игнорируйте сообщения о входе в систему и не оставляйте сайт открытым ни на компьютере, ни на телефоне. А ещё лучше сделать вход через СМС-подтверждение.
UMS(Unified Messaging Solution) – это портал и приложение для смартфона, в которых объединены все социальные сети и встроен внутренний мессенджер. Это универсальная система для коммуникации: с одной платформы можно:
С помощью этой системы общения можно другим абонентам внутри данной системы, используя либо функционал сайта, либо скачав официальное приложение Megafon UMS.
Вход в личный кабинет UMS Мегафон осуществляется на официальном сайте системы https://messages.megafon.ru/user/toUserPage.do .
Здесь нужно ввести свой номер телефона и пароль от личного кабинета на сайте оператора (пароли на обоих сервисах совпадают, что весьма удобно). Также авторизацию можно пройти, скачав приложение на смартфон или планшет.
Приложение UMS легко найти и установить в одном из официальных магазинов: App Store, Play Market(https://play.google.com/store/apps/details?id=ru.megafon.mlk) или Microsoft Store, либо скачать по ссылкам на сайте оператора:
Функционал на сайте и в приложении идентичен – нужно подключить аккаунты ваших социальных сетей, после чего можно будет пользоваться ими в одном месте. Если скачать приложение, не нужно будет больше запоминать кучу паролей и логинов: достаточно одной авторизации, и связь со всеми друзьями и знакомыми всегда под рукой.
Также здесь можно отправлять СМС и ММС. В сутки лимит ограничен – всего 70 штук. Еще присутствует возможность отправлять сообщения тем пользователям, у которых установлена аналогичная программа – таких сообщений можно отправить еще 70 раз за день.
Дополнительные функции системы общения:
Для удобства абонентов оператор сделал стоимость UMS равной 0: платы за подключения и абонентской платы нет. Единственные траты – оплата СМС согласно вашему тарифу. Также не стоит забывать про , его вы оплачиваете самостоятельно, но чаще всего сейчас трафик предоставляется в рамках тарифа, поэтому беспокоиться о данном вопросе бессмысленно.
Рассмотрим, как подключить UMS. Пройдите регистрацию на официальном сайте или скачайте приложение на смартфон . Также вы можете подключиться через:
- USSD-команду – *598*1# вызов;
- СМС на номер 5598 (бесплатно) с текстом ВКЛ (или ON).
Отключить
Отключить UMS также можно без лишних хлопот. Для этого следует:
- отправить смс на номер 5598 с текстом ВЫКЛ (OFF);
- набрать на телефоне *598*2# вызов.
Но следует помнить, что при отключении все настройки будут удалены. Поскольку опция действует бесплатно, можно не торопиться с полным отказом от нее.
Узнав подробнее, что это за приложение, вы оцените его удобство, и в дальнейшем будете вновь его использовать.
Инструкция по отправке сообщений
Использовать приложение весьма удобно, но не стоит забывать о некоторых нюансах:
- Лимит на отправку UMS-сообщений. Количество сообщений внутри приложения и СМС или ММС другим абонентам в день не должны превышать 70.
- Приложение может сохранять все ваши послания. Если вы не хотите хранить переписку, отключите эту опцию в настройках.
Помня обо всех тонкостях использования этой системы общения, можно применять приложение и не тревожиться о скачивании кучи других для пользования социальными сетями.
Личный кабинет Мегафон -это специальный аккаунт для абонентов сотовой связи компании Мегафон в котором они могут смотреть всю информацию по своим расходам и самостоятельно управлять услугами.
Когда вы перейдете по ссылке lk.megafon.ru , перед вами появится приветственное окно личного кабинета Мегафон, в котором необходимо будет ввести логин и пароль для входа. В поле логин укажите свой номер телефона. При этом важно что бы номер принадлежал оператору Мегафон.
В поле пароль необходимо указать ваш пароль от личного кабинета. Но если у вас его нету то можно войти и без него, о том как это сделать читайте далее.
Выше был описан способ, как попасть в ЛК через специальный официальный сайт. Однако это не единственный способ использовать данную услугу.
Знаете ли вы? В этом случае управление кабинетом проходит через введение специальных запросов, активация услуг проводится через ввод соответствующих кодов.
Важно! В последнем случае вы не получите готовый пароль, вам потребуется указать его самостоятельно. Придумайте его заранее.
Только получив эти данные, можно решить вопрос с тем, как войти в личный кабинет «МегаФон». Открыв форму авторизации, необходимо ввести свой номер телефона и полученный по любой описанной выше процедуре пароль. Затем нажимаете кнопку ввода, и вас перебрасывает на нужную страницу. Теперь вам доступны все функции, предусмотренные этой услугой.
Важно! Если вы пять раз подряд введете неправильный пароль, вход в кабинет будет заблокирован. Снять блокирование можно, если получить новую информацию по любому из вышеописанных методов .
Иногда возникает ситуация, когда необходимо знать, как восстановить пароль в личный кабинет «МегаФон». Чтобы восстановить пароль, можно воспользоваться теми же способами, которые предусмотрены для получения его впервые, то есть описанными выше. Если делать это через сайт, система потребует от вас кодовое слово, которое вводилось при регистрации. Если делать через свой телефон, она пришлет пароль через SMS без требований подтверждений.
Чтобы сменить пароль, достаточно зайти в ЛК, оттуда перейти в настройки, где найти пункт управления этими данными. Пройдя в него, можно сменить секретные данные на нужные. Еще один способ, который позволяет сменить пароль через SMS. Для этого сообщение отправляют на номер 000105 с таким содержанием: «PAS новый пароль». Создать новый можно, набрав на телефоне сервисный запрос *105*01#, после чего надо ввести новые данные.
Личный кабинет абонента у сотового оператора - это уже далеко не эксклюзив. Такая услуга облегчает предоставление и пользование другими услугами оператора, управление ими в короткие сроки, не отвлекаясь на общение с абонентским отделом. «МегаФон», как и прочие операторы, предоставляет доступ к услуге только своим абонентам. Услуга, которая называется «Сервис-Гид», предоставляется по умолчанию, автоматически, абоненту необходимо лишь зарегистрироваться и авторизоваться в кабинете. Как это сделать, расскажем ниже.
В личном кабинете мегафон вы сможете воспользоваться следующими возможностями:
Контентные воры в любую дырку пролезут. К счастью, их подводит алчность, и после широкомасштабного «набега» на кошельки лазейку заколачивают, а украденные деньги возвращают. Очередное подтверждение тому, что с законодательством в области мобильного контента у нас всё плохо.
Точнее, не плохо, а вообще никак. Эффективных инструментов воздействия нет, а существующими никто не хочет пользоваться. Мороки много, результативность низкая, правоохранителям возиться неинтересно. А остальным невыгодно.
На этот раз «игольным ушком» для «контентного верблюда» оказался универсальный портал для работы с сообщениями и социальными сетями UMS (Unified Messaging Solution), запущенный в эксплуатацию в декабре прошлого года, т.е. менее трех месяцев назад. Одним из ключевых преимуществ сервиса является полнофункциональная работа с SMS-сообщениями: из web-портала или специального приложения можно отправлять SMS со своего номера, настраивать фильтры и т. п. Входящие SMS тоже дублируются и сохраняются, на них можно отвечать прямо из web-интерфейса и, при желании, полный архив сообщений остается у вас, что бывает полезно при смене аппарата. Наш обзор этой платформы можно почитать , ключевая для сегодняшнего разбора цитата:
«Регистрация в системе происходит автоматически при первом запуске приложения и вводе номера телефона плюс пароль от Сервис-Гида. Если Сервис-Гидом раньше не пользовались, то проще всего задать пароль USSD-командой *105*01*пароль#пароль# (вместо слова «пароль» - выбранная вами для пароля комбинация цифр)».
Короче говоря, в сервисе UMS реализовали удобную для абонента и прогрессивную схему регистрации пользователя: при заходе на портал UMS регистрация происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду. Юридически это вполне допустимо, так как услуга бесплатна, плюс осознанное действие пользователя (регистрация на портале с вводом пароля) присутствует. К примеру, во многом схожий по функционалу платный сервис SMS+ необходимо предварительно подключить через системы самообслуживания. А с UMS пользователю решили облегчить жизнь, не нужно подключать никаких услуг ни USSD-командой, ни через Сервис-Гид. Что, бесспорно, повысило «дружелюбие» сервиса, но создало дополнительные возможности для злоумышленника.
Днём 4-го апреля получил сердитое письмо с подробным описанием материализовавшейся на номере подписки. Цитаты с разрешения автора:
«...я абонент МФ Северо-Запад. Вчера вечером приходит СМС «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru (см. скриншот выше). Я не обратил на неё сильного внимания, т.к. иногда приходят СМС с предложением загрузить MMS, SMS и что-то еще. Зашёл на страницу по ссылке, увидел что-то от Мегафона. Но т.к. этой услугой не пользовался - забыл.
Потом пришла вторая СМС (через полтора часа) с цифровым кодом и текстом «Никому не сообщайте персональный код». Тут я сразу же позвонил в контактный центр Мегафон (хорошо что у меня VIP тариф и ожидание оператора меньше минуты). В процессе разговора пришла еще одна СМС с текстом о том, что на мой номер телефона оформлена подписка. Оператор сообщил мне, что «подписался» на платную подписку от сайта spinyla.net, от которой меня сразу же отписали (но 20 рублей снять успели). Так же оставил заявку на возврат денежных средств (20 руб.) Сегодня пришла СМС что заявку удовлетворили, но деньги на счет ещё не поступили. Подождем.
Пароль в Сервис-Гиде Мегафона можно задавать только цифрами (вчерашний век, ну да ладно). Но у меня это не день рождения, а старый номер телефона, откуда я переехал около 10 лет назад. Соответственно его найти перебором практически нереально. Вопрос откуда могли взять пароль? Три варианта на мой взгляд:
Пункт 1 выглядит маловероятным. Пункт 2 тоже: вирусов на компьютере не обнаружено. Остается пункт 3, как наиболее приближенный к реальности. Не хочется верить, но?».
Подбирать пароль к Сервис-Гиду действительно почти бесполезно. Помимо капчи на входе, там предусмотрены разнообразные ограничения на количество попыток и, наверняка, все прочие системы безопасности. На моей памяти, процедуры входа перерабатывались и «допиливались» раза три, причем это только заметные внешне доработки.
Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру. Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов.
Покопался в интернете и обнаружил целую коллекцию одинаковых жалоб на подключение «левой» подписки с полным совпадением всех признаков. Начиная от поступления SMS «Ваша учетная запись использована для входа на web-портал https://messages.megafon.ru...» и заканчивая всеми остальными атрибутами, вплоть до общего «контентного партнера» (сайт www. spinyla.net). Время событий тоже примерно совпадало: от позднего вечера 3-го до раннего утра 4-го апреля.
География - самая разная: Москва, Санкт-Петербург, Красноярск, Поволжье. В одном случае «пострадали» все четыре телефонных номера в семье, что косвенно вписывается в предположение об автоматизированном переборе: либо одновременно покупались «соседние» номера, либо, что более вероятно, на всех четырех номерах использовался один общий пароль для Сервис-Гида.
Днем четвертого апреля обобщенной информации еще не было, и абонентские службы вещали кто во что горазд. От «Вы сами подписались!», до «Убедитесь в том, что никто не знает ваш пароль в Сервис-Гид». Надо полагать, что одинаковые жалобы запустили механизм выяснения причин и принятия мер, ближе к вечеру появилась определенность в ответах.
Утром 5-го апреля на сайте МегаФона появилось сообщение о «профилактических работах» и ограничениях в функционировании других приложений, связанных с использованием Сервис-Гида. Совпадения бывают, но больше похоже не на «профилактические», а срочно-аварийные «работы» по ликвидации уязвимости.
К вечеру 5-го апреля эпопея с контентным взломом благополучно (надеюсь) завершилась. Прореху в защите залатали, украденные со счетов деньги вернули. Те, кто списания не заметил, так ничего и не заметят. Для тех, кто заметил и начал скандалить, теперь озвучивают официальную формулировку о технических проблемах на оборудовании и ошибочном подключении подписки. Версия, конечно, забавная: в программном обеспечении произошел некий сбой, который подключил абонентам сервис UMS, отправил SMS-сообщение или ввел номер на сайте, получил SMS c кодом, ввел его и оформил подписку. Упаси нас боже от таких «сбоев», это уже называется «восстание машин».
Всех подробностей мы не узнаем, а в МегаФоне не расскажут. Читал про очень похожие случаи в начале марта, тоже подписка и тоже с подключением сервиса UMS. Правда, пострадавший писал о SMS+, но мог ошибиться или не расслышать. Для подключения SMS+ нужно подбирать пароль на входе в Сервис-Гид, а это дело неблагодарное. И, главное, совершенно ненужное при наличии «дружелюбной» UMS.
Судя по скриншоту детализации, процесс воровства полностью автоматизирован, программисты потрудились на славу. Обратите внимание на время: если верить цифрам, подписка была зарегистрирована через две секунды после получения SMS-сообщения с кодом. Поднять глаза, прочитать и ввести четыре цифры вручную за две секунды вряд ли выполнимо физически. Почти наверняка перебор блоков номеров на входе в портал UMS тоже хорошо автоматизирован, за возможный доход 20 руб./сутки никто не будет корпеть над этим вручную.
Судя по интервалу времени между успешным подбором пароля и подключением подписки (в разных примерах от полутора до пяти часов), «мероприятие» проводят в два этапа: сперва заготавливается порция успешно подобранных пар телефон/пароль, затем эти пары обрабатываются подписками. Затем весь процесс повторяется для следующего блока.
Могу предположить, что денежный потенциал этой схемы оценили давно, софт заказали/написали и друзья-контентщики подворовывают на «левых» подписках уже не одну неделю. Сейчас то ли алчность взыграла, то ли программа попала в руки неумного человека. Который, захотев слишком много денег «здесь и сейчас», неосмотрительно запустил механизм отслеживания фрода. Скромнее надо быть, скромнее.
Страшно себе представить, сколько увлекательных историй прошло через операторские отделы по борьбе с фродом. И сколько историй пока не прошло и, возможно, никогда не пройдет. Вернут (или не вернут) списанное пожаловавшимся и забудут. Всё-таки надо решать вопрос в принципе, а не заниматься латанием прорех в защите и разработкой куцых «Запретов контента». Отключить бы всем доступ к любому платному контенту и подключать только по письменному заявлению. Эх, мечты...
То, что нам с вами следует вынести для себя из этой истории.
Хоть и есть поговорка про снаряды, которые дважды в одно и то же место не попадают, я бы на всякий случай проверил в Сервис-Гиде подключение услуги UMS. Вдруг когда-то подключали «для попробовать», а отключать не стали или забыли?
Если услуга не подключена, то при первом успешном входе на портал UMS срабатывает ее автоматическое подключение, в Сервис-Гиде появляется запись «Изменен состав услуг» с указанием даты и точного времени.
Одновременно на телефон приходит SMS-сообщение с предупреждением об успешном входе на портал UMS с использованием данных пользователя (номер телефона и пароль). Для нас это важный «звоночек», после которого можно успеть отключить услугу и/или сменить пароль. Последующие посещения портала происходят незаметно для пользователя. По крайней мере, у меня никаких SMS-предупреждений не было, проверял.
Не лениться использовать пароль максимальной длины и категорически отказаться от традиционных комбинаций вида 12345, даты рождения и т. п.
Обращать внимание на «загадочные» SMS-сообщения и не торопиться их стирать из памяти телефона, может пригодиться для восстановления картины произошедшего.
Сергей Потресов ()
В последние 4 дня в Сети начала появляться волна жалоб абонентов компании «Мегафон». Основная масса связана с несанкционированными подписками на платные SMS-сервисы. Это стало возможным из-за наличия уязвимости в новом сервисе UMS.
Ситуацию усугубляет слабость законодательства в РФ и отсутствие результативности раскрытия таких преступлений правоохранителями. Самим же операторам, судя по всему решать проблему угона средств со счетов абонентов с использованием SMS-подписок попросту не выгодно.
Возвращаясь к «Мегафону», брешь в безопасности найдена и эксплуатируется в сервисе для работы с социальными сетями и сообщениями UMS. Этот сервис был запущен оператором в декабре 2012 года. Одним из преимуществ называется полноценная работа с SMS сообщениями, предоставляется функционал по чтению и отправке сообщений. Абоненты подключаются к нему автоматически, для этого нужно ввести номер телефона и пароль от сервиса Сервис-Гида.
Внешне все выглядит удобно для абонентов, но это только внешне. Если в сервисе Сервис-Гиде есть хоть какое-то подобие защиты с вводом «защитного кода», то в случае с UMS есть возможность проведения перебора паролей. С учетом того, что на большинстве номеров используется только цифровая комбинация, подбор пароля лишь вопрос временем, а с учетом, что длина может быть 4 символа, нахождение пароля проходить очень быстро. Получив пароль для входа, злоумышленники получают доступ не только к SMS сообщениям абонента, но и к системе Сервис.Гид. В данные момент эта брешь безопасности используется для осуществления массовых платных СМС-подписок. По сообщениям, появляющимся в сети, оператор со своей стороны заявляет о необходимости письменного обращения для возврата средств. Но, при этом если в случае использования в качестве основной SIM-карты худо бедно потерю средств можно заметить, то в случае нахождении SIM-карты в модемах о проблеме можно будет узнать только при возникновении весомого долга на счету.
Еще один из подводных камней, который может проявиться в скором времени может быть связан с SMS функционалом. Одной из самых серьезной опасностей может стать доступ к Интернет-банкингу, и осуществлением манипуляций уже с банковским счетом.
Рекомендую провести проверку настроек своего лицевого счета и отключить доступ к услуге UMS в том виде, котором она сейчас введена кроется большое число подводных камней, сделать это можно в сервисе Сервис.Гид.
Комментарии:
В последнее время у геймеров вовсе нет проблем с выбором компьютерного корпуса, так как на рынке есть цел...
Компания Intel представила довольно необычный ноутбук Honeycomb Glacier, который является игровым решение...
На рынке игровой периферии уже достаточно долго не происходит ничего нового, так как компании уже все исп...
Компания FSP показала в рамках выставки Computex 2019 компьютерный корпус CMT710, который имеет конструкц...
Компания X2 Products представила компьютерный корпус Abkoncore Cronos 710S, который предназначен для созд...