Máme se bát trojciferných prémiových SMS?

Až dosud bylo možné zaplatit jednou prémiovou SMS zprávou pouze dvoucifernou částku (max. 99 Kč). Nově to bude již trojciferná částka (zpočátku max. 600 Kč, pak až 999 Kč). Máme to jako zákazníci vítat, nebo se toho spíše bát? Nebudou časem naše smartphony napadány podobně, jako dnes VOIP ústředny a dříve dial-up připojení k Internetu?

Historie telekomunikací není jen historií neustálého technického pokroku a velkých podnikatelských úspěchů (či někdy neúspěchů). Je také dlouhou historií oškubávání zákazníka. Vlastně ne zákazníka, ale jen máloprávného účastníka, jak jsou uživatelé telekomunikačních služeb tradičně vymezováni.

Toto oškubávání přitom vždy mělo, a nejspíše i vždy bude mít povahu široké škály různých praktik. Od marketingových triků a různých technik „optimalizace výnosů“ na straně jedné, až po vysloveně kriminální praktiky.  A právě u těch bych se rád v tomto článku zastavil.

I zde totiž dochází k vývoji, který odráží vývoj v technologiích i v chování uživatelů. Vzpomínáte si ještě na kauzy kolem tzv. dialerů, časté v dobách, kdy kraloval internetový dial-up? Jednalo se o programy, které bez vědomí uživatele přesměrovávaly jeho vytáčené (dial-up) připojení, tak aby uživatel provolal co nejvíce.

„Byznys model“ autora dialeru přitom stavěl na určitém podílu na terminačních poplatcích, inkasovaných cílovým operátorem (obvykle v nějaké exotické zemi). A s celým problémem se v podstatě nedařilo nic dělat, dokud se nevyřešil sám od sebe (tím, jak uživatelé přešli z vytáčeného na pevné připojení).

Zneužití VOIP ústředen

Dnes se podobný „byznys model“ uplatňuje u útoků na VOIPové telefonní ústředny. O prvním mediálně známém případu se v loňském roce psalo i zde na Lupě, proto jen krátké připomenutí principu: útočník  dokázal přimět špatně zabezpečenou telefonní ústřednu, aby vedla dlouhé  hovory na draze zpoplatněná čísla (typicky do zahraničí).

Reakce ČTÚ na tento nový druh útoků se ještě vloni nesla ve stejném duchu jako u dialerů: nikoli v duchu nějakého aktivního protiopatření, ale jen ve stylu osvěty  (zákazník by si měl dávat pozor na to a to). Podobně reagovali i někteří VOIP operátoři, když publikovali své zásady lepšího zabezpečení VOIP ústředen.

Pak bylo kolem VOIP ústředen nějakou dobu ticho. Přesně před týdnem ale tuto problematiku otevřel sám ČTÚ, a to na pravidelném setkání s novináři. Přivedl  na něj i soudního znalce, z jehož slov se dalo vyvodit, že problém nezanikl, ale stále roste. Jen dotyčný soudní znalec prý „ví“ o desítce případů, na jejichž řešení se aktivně podílí – a škody se obvykle pohubují někde v řádu milionů. Dosud nejvyšších je prý 15 milionů, ale o tomto případu se zřejmě psát nebude (potkal firmu, která si prý nepřeje žádnou publicitu).

Soudní znalec také popsal mechanismy dnešních útoků na VOIP ústředny. Přitom neřekl nic až tak překvapivého, když konstatoval, že mají celou širokou škálu příčin: od úplné ignorance na straně uživatele ústředny (proč nějaké zabezpečení?), přes snahu ušetřit na správě (nějaký dohled by byl pro nás moc drahý), vzájemné nedorozumění (my mysleli, že se o to stará dodavatel), amatérismus dodavatele a „instalátora“ ústředny (proč měnit defaultní jména a hesla?) až po zneužití chyb v kódu softwarové ústředny.

Zajímavou novinkou (alespoň pro mne) bylo konstatování, že popisovaný problém se už netýká jen VOIP ústředen, ale i klasických „hardwarových“ ústředen: mezi aktuálně řešenými případy prý již jsou dvě tohoto typu. Princip zneužití zde prý spočíval v tom, že při přesměrovávání příchozího hovoru do hlasové schránky nepřítomného uživatele bylo možné vytočit další číslo, na které ústředna příchozí hovor přesměrovala. A díky chybě v nastavení ústředny to mohlo být i kamkoli jinam (mimo ústřednu).

ČTÚ vyzývá k veřejné diskusi

Možná že právě toto zjištění (že ohroženy jsou i klasické pobočkové ústředny, a nikoli jen ty na bázi VOIP) vedlo ČTÚ k tomu, že znovu „zvedlo“ celý problém právě před novináři, a vyzvalo k podpoře veřejné diskuse.

Úřad sám prý o této problematice již přemýšlí a řeší, co a jak by se dalo dělat. Zatím prý ale nedospěl k žádné konkrétní představě, kterou by chtěl prosazovat.

Princip opatření, která se potenciálně nabízí, přitom sám ČTÚ zmiňoval již ve svém doporučení z loňského roku: nastavení vztahu mezi provozovatelem ústředny a operátorem tak, aby provozovatel ústředny byl informován při nějakém nestandardním chování své ústředny, a podle vzájemně dohodnutého scénáře mohl být provoz ústředny  automaticky omezen (například při překročení nastaveného limitu za určitý časový interval).

Zde je samozřejmě mnoho „stupňů volnosti“: dal by se stanovit nějaký implicitní limit, který by platil pro všechny, kteří si nedohodnou jiný limit. Tedy stejné opatření, jako Evropská komise již aplikovala na data v roamingu. Nebo by se dala vynutit alespoň možnost nastavení limitu (aby to každý operátor nabízel). Nebo povinnost  operátora nabízet zpoplatnění svých služeb i na principu předplatného, a ne pouze na post-paid bázi. Či povinnost dotázat se zákazníka při „zvýšené útratě“, zda je vše v pořádku a zda jde o jeho aktivitu – jako to dnes dělají banky při nestandardních transakcích platebními kartami.

Možností je samozřejmě více, a diskuse je určitě na místě. Co byste navrhovali vy?

A co smartphony?

Za sebe bych tuto diskusi rád rozšířil o jeden další směr, který považuji za nesmírně důležitý. Jde o to, že dosavadní posloupnost: „dialery, VOIP ústředny ….“ určitě není u konce, protože odvrácená strana barikády bude zcela jistě hledat nové příležitosti a nové možnosti, jak někoho okrádat. A takovýchto příležitostí nejspíše bude dále přibývat.

Co třeba takové smartphony? Je jich čím dál tím více, jsou čím dál tím inteligentnější a výkonnější, čímž se blíží klasickým počítačům – a tím se stávají o to zranitelnější, a také lákavější jako cíl útoku. Podle mého názoru je jen otázkou času, než se rozšíří nějaká obdoba dialerů pro smartphone. Nebo už se tak děje, třeba ve formě virů, trojských koňů apod.?

Nicméně: asi zde bude potřeba určité inovace i pokud jde o „byznys model“ útočníkl. Pokud by váš smartphone vedl mnohahodinový hovor do nějaké exotické lokality, asi byste si toho všimli. Buď když byste chtěli sami volat, nebo třeba díky rychlému vybití baterie.

Proto si myslím, že útoky na smartphone budou vedeny takovým směrem, kde lze „udeřit“ velmi rychle (jednorázově a okamžitě), ale přesto  s „dostatečným“ finančním efektem pro prvotního původce, který může dostávat třeba jen malý zlomek toho, jakou škodu způsobí postiženému.

Nejspíše tedy (stále podle mého názoru) půjde o útoky směřující k nějaké formě mobilních plateb. Jedna jejich forma, kterou představují prémiové SMS (Premium Rate SMS, PR SMS) je k dispozici již dnes, a k jejímu zneužití vlastně stačí jen málo: přinutit konkrétní mobil, aby poslal běžnou SMSku na zadané číslo.

Limity pro Premium SMS se mají zvýšit

V souvislosti s tímto očekáváním mne před časem velmi zaujaly zprávy o tom, že naši mobilní operátoři plánují na podzim letošního roku podstatně zvýšit částky, které by se daly přes prémiové SMS platit. Dnes je to maximálně 99 za jednu zprávu, ale nově by to mělo být až 600 Kč, a o něco později prý až 999 Kč.

Co by se také mělo změnit, jsou čísla, na která se takovéto Premium Rate SMS zprávy budou posílat, resp. ze kterých budou přicházet (podle toho, která ze zpráv je „prémiově“ zpoplatněna). Dosavadní princip číslování totiž počítá jen s dvoucifernými cenami (a ty jsou vyjádřeny přímo v příslušných číslech, resp. tzv. short code).

Jinak by se ale nemělo měnit nic: ani na principech fungování prémiových SMS (které jsou dnes popsány v aktuální verzi Kodexu prémiových SMS zpráv), ani na zabezpečení těchto draze zpoplatněných zpráv, ani na možnostech ochrany, které zákazník má.

Připomeňme si ze všeho nejdříve, že zákazník (účastník) má možnost si nechat prémiové SMS zablokovat: u Vodafonu a T-Mobile přes příslušnou samoobsluhu (u VF jako „Blokování plateb třetím stranám“, u T-Mobile jako „Blokování prémiových služeb – Audiotex, Premium SMS a SMS Platba). U O2 je nutné volat na zákaznickou linku nebo zajít na značkovou prodejnu. U Vodafonu a O2 by mělo být možné následně (po zablokování PR SMS) selektivně povolit některé konkrétní platby, jako třeba SMS jízdenku na MHD.

Když jsem se mobilních operátorů ptal, zda chystají nějaké změny v zabezpečení či zcela nové možnosti zabezpečení, odpověď byla negativní. Jen T-Mobile dodal, že chystá edukativní kampaň, „která zákazníkům vysvětlí, že telefon už není jen od volání a SMS-kování, ale i na placení“.

Důležité přitom je, že nové (zvýšené) částky se budou týkat jak prémiových SMS zpoplatněných již při objednání (princip „MO SMS“, od: „Mobile Originated“ SMS), tak i při doručení (MT SMS, od „Mobile Terminated“ SMS).

Připomeňme si rozdíl: v případě MO PR SMS zaplatíte „prémiově“ již za odeslanou SMS. Číslo, na které odesíláte,  přitom již musí obsahovat cenu v Kč (dosud jako poslední dvojčíslí, nově zřejmě jako trojčíslí).

V případě MT SMS nejprve posíláte „iniciační“ SMS zprávu, zpoplatněnou dle vašeho aktuálního SMS tarifu. Přitom číslo, na které zprávu posíláte, nemusí obsahovat údaj o ceně (ale jen kód poskytovatele). Zpoplatněna (a to „prémiově“) je až SMS zpráva, kterou dostáváte jako odpověď – a teprve v tuto chvíli se dozvíte cenu, z posledního trojčíslí (které dnes vyjadřuje cenu v desítkách haléřů).

Mimochodem, když si dnes objednáváte SMS jízdenku v pražské MHD, posíláte iniciační SMS zprávu na číslo 902 06. Cenu jízdenky ze z tohoto čísla nedozvíte, protože ona 06 je kódem poskytovatele, (možnost vyhledávání zde). Pokud nevíte odjinud, že jde o 26 Kč, dozvíte se to až ze samotné SMS jízdenky, kterou dostanete v odpovědi na vaši objednávku (iniciační zprávu). Ta dnes přijde z čísla 902 06 260 (tj. 260 v desítkách haléřů). Nově, po zavedení trojciferných SMS zpráv, by měla tato SMS jízdenka přicházet z čísla 902 06 026.

Jaké jsou „nové“ možnosti zneužití?

Se samotnou změnou výše částky, kterou lze zaplatit jedinou zprávou, se nemění nic na mechanismech možného zneužití. Nicméně mění se podmínky  pro „byznys modely“ těch, kteří by chtěli tyto možnost využít. Jestliže dosud na jeden „úder“ mohli inkasovat nejvýše 99 Kč, pak nově to bude podstatně více (až 600 Kč, později až 999 Kč, viz výše). Takže to, co se někomu dosud nemuselo vyplácet, a tak se o to raději ani nepokoušel, se nyní už může reálně vyplatit.

Pokud jde o konkrétní scénáře, které mne napadají, pak zde bych začal již samotnou cenou. Už z předchozího příkladu s pražskou SMS jízdenkou plyne jeden zajímavý postřeh: u MT PR SMS se zákazník při objednávání (odesílání iniciační SMS) nedozví cenu služby. Přes veškerá vznešená slova o tom, jak zákazník musí být o všem plně informován, ani aktuální verze kodexu prémiových SMS služeb nepožaduje, aby číslo, na které se odesílá iniciační SMS, vypovídalo o ceně objednávané služby. Cenu toho, co si objednal, se zákazník dozví až z přijaté odpovědi (která přichází z čísla, které již vyjadřuje příslušnou částku).

Je to dáno tím, že struktura tzv. short code, na které se iniciační SMS (u MT SMS) posílá, je 90z xy, kde xy je kód poskytovatele. Proto se třeba pražské SMS jízdenky objednávají na čísle 902 06. Pouze u MO PR SMS, u kterých je zpoplatněna již odesílaná SMS zpráva, je struktura 90z xy ab, kde ab je cena v Kč (dosud dvouciferná, do budoucna zřejmě trojciferná).

Takže jeden způsob útoku, který mne napadá, je skrze službu, fungující na principu MT PR SMS, která bude o sobě tvrdit, že stojí „něco málo“, ale ve skutečnosti uživatele jednorázově zkasíruje o maximální možnou částku (600 Kč, resp. 999 Kč).

Takováto služba samozřejmě bude porušovat kodex prémiových SMS, který zavazuje poskytovatele služby ke korektnímu informování o ceně ve všech médiích, inzerátech atd. Operátoři, případně APMS, by proti takovéto službě a jejímu poskytovateli po masovějších stížnostech zákazníků zřejmě rázně zakročili. Ale co do té doby, než se tak stane? Při částkách až 600 Kč či dokonce 999 Kč za jednu prémiovou zprávu už by se mohly někomu vyplatit strategie typu „hit&go“.

Operátoři sami by se před takovýmito strategiemi jistě sami snadno uchránili (třeba skrze odklad plateb poskytovateli služby). Ale co jednotlivý koncový zákazník? Jak on bude prokazovat, že byl na počátku mylně informován o ceně služby? V praxi to bude opět on, kdo bude tahat za kratší konec provazu.

Přitom by hodně pomohlo relativně jednoduché opatření: změnit číslování (short code) tak, aby se i iniciační SMS zpráva posílala na číslo, vyjadřující cenu následné odpovědi.

Co neautorizovaná SMS centra?

Dalším potenciálním zdrojem problémů může být (alespoň podle mého názoru) možnost podvrhnout originující telefonní číslo, v kombinaci se službami na principu MT PR SMS. Princip je jednoduchý: pokud útočník dokáže podvrhnout číslo, ze kterého je odesílána iniciační SMSka, a operátor i poskytovatel služby ji přijmou, bude prémiová cena za odpověď naúčtována tomu, kdo je držitelem onoho podvrženého čísla. Se zvýšením této částky z 99 na 600 Kč (resp. 999 Kč) se takováto možnost může pro někoho již stát atraktivní.

Možnost podvrhnout číslo, ze které je nějaká SMS zpráva odesílána, byla populární před lety, a dokázala vzbudit upřímné zděšení některých politiků. Na vině přitom nejčastěji byla různá „podivná“ SMS centra, která byla ochotna změnit (podvrhnout) číslo odesilatele. Takže přijatá SMSka pak vypadala, jako kdyby ji ze svého mobilu posílal ten, komu toto číslo patří.

Dnes je situace ještě zajímavější v tom, že na Internetu existuje řada více či méně veřejných bran, které také umožňují odesílat SMS, a přitom explicitně nastavit číslo odesilatele. Mohou být takovéto brány zneužity k objednávání MT SMS „na cizí účet“?

Podívejme se nejprve, jak se k této možnosti staví Kodex prémiových SMS služeb. Ten nejprve rozlišuje jednorázové MT SMS (jedna objednávka, jedno prémiově zpoplatněné poskytnutí služby), a předplatné MT SMS (jedna objednávka, opakované poskytování služby, pokaždé znovu prémiově zpoplatněné). U předplatných MT SMS pak zavádí povinnost ověření zákazníkem: tomu musí být zaslána dotazovací SMSka (předepsaného formátu), zda si službu skutečně objednává,  a zákazník na ni musí kladně odpovědět.  

Díky ověřování je dokonce možné, aby se „předplatné“ služby na bázi MT PR SMS objednávaly i jinak, než přes SMS:

Zákazník zahájí objednávku Předplatné Služby zasláním požadavku (objednávky) na Poskytovatele Služby. Tento požadavek může být proveden prostřednictvím iniciační SMS, MMS, WAP, WEB či IVR rozhraní. V případě objednání přes iniciační PR SMS/MMS musí Zákazník odeslat zprávu na Short code ve tvaru 90z xy.

Jinými slovy: takovouto službu si mohu objednat také třeba tak, že někde na webu vyplním formulář, ve kterém uvedu číslo svého mobilu – a na něj pak dostanu dotaz, zda službu skutečně objednávám. To mi přijde jako vcelku adekvátní zabezpečení.

Jenže: jak je tomu u jednorázových MT PR SMS služeb? Jaká ochrana funguje zde? Když jsem se na to ptal operátorů, odkázali mne na drobnou poznámku v jednom z obrázků v Kodexu na straně 13, kde se píše že:

V případě objednání jednorázové služby na bázi MT PRSMS z prostředí WAP/WEB se objednací cyklus řídí pravidly Předplatné služby.

Jenže: řeší tato poznámka otázku neautorizovaných SMS center, která jsou schopná odesílat iniciační SMS s podvrženým originačním číslem?  Můj názor je, že nikoli. I předchozí citace (týkající se předplatných služeb) rozlišuje mezi webem a iniciační SMSkou do té míry, že pouze u iniciační SMS požaduje odeslání na předepsaný short code, zatímco u webu nikoli.

To, že různá SMS centra mohou být ovládána přes web, ale není to samé jako objednání předplatného MT PR SMS přes web. Přímo z webu se neposílá SMSka příslušný short code. A SMS centrum zase nemusí být ovládáno jen přes web. Všelijaké podvodné SMS zprávy (s iniciačními SMS) může SMS centrum generovat samo, třeba na základě nějakého vlastního skriptu apod.

Nicméně: rozdíl mezi objednáním iniciační SMSkou a přes web může být jen akademickou otázkou. Podstatné je už něco jiného: zda systémy operátora a poskytovatele služby akceptují iniciační SMSku z nějakého „podvádějícího“ (neautorizovaného) SMS centra, nebo zda ji odmítnou.

Samozřejmě jsem se i na to ptal operátorů, stejně jako na to, zda přijmou a doručí běžnou (nikoli prémiovou) SMSku z nějakého neautorizovaného SMS centra. Z jejich odpovědí jsem ale nebyl moc moudrý. Oscilovaly od celkem jasné odpovědi (že běžnou SMS doručí, zatímco prémiovou SMS nikoli), přes snahu prezentovat neautorizovaná SMS centra jako variantu  WAP/WEB, na který se vztahuje povinnost potvrzení objednavatelem, až po konstatování že

… zatím se tyto případy řeší reaktivně, tedy sledováním provozu v síti, jakmile zachytíme nějakou „podivnost“, začneme s centrem vyjednávat.  Pokud nedojdeme k dohodě, vypínáme je ….

či

na Váš popud naši zaměstnanci mimo Vámi zmíněné zahraniční SMS brány vyzkoušeli ještě dalších cca 15, jak zahraničních, tak českých SMS brán. Ani jedna SMS brána dle našich zjištění nedokázala zaslat SMS zároveň ve správném tvaru, bez reklamního sdělení, se správně uvedeným originujícím číslem MSISDN a na Premium SMS číslo.

No, v každém případě bych to bral jako záležitost s otevřeným koncem. Nebo raději jako začátek diskuse, od které si slibuji, že by mohla přimět mobilní operátory k zavedení dalších bezpečnostních opatření, když už chtějí zvyšovat částky pro platby přes prémiové SMS. Aby kromě svého byznysu mysleli i na ochranu zákazníka, ještě dříve než by je zastihlo nějaké negativní PR z konkrétních případů zneužití.

Má někdo ze čtenářů konkrétnější informace ohledně neautorizovaných SMS center či jiných možností jak podvrhnout číslo odesilatele? Případně máte již nějaké negativní zkušenosti s prémiovými SMS?