Как стать автором
Обновить

Мобильные подписки, AdWords, приложение Вконтакте и фишинг

Время на прочтение 2 мин
Количество просмотров 120K


Долго думал над тем, как правильно сформулировать заголовок, чтобы он отражал суть ситуации. Я хочу рассказать об интересном способе развода пользователей ВКонтакте, с которым сегодня пришлось столкнуться.

Не секрет, что очень много пользователей вводят название сайта, на который хотят попасть, в поисковой строке. Выше вы видите рекламу в выдаче google по запросу «vk.com». Казалось бы, в качестве домена приземления указан www.vk.com и даже внимательный пользователь со спокойной совестью кликает по объявлению. И попадает на… сайт с незамысловатым доменом вида vk.com.uohu8.tk



Пользователю предлагается восстановить контроль над учетной записью:
  • ввести номер телефона,
  • получить код в сообщении,
  • ввести код в форму.


Правда, схема у мошенников могла бы быть и лучше, после ввода кода из сообщения фишинговый сайт говорит об ошибке у оператора сотовой связи и просит дать ему номер у другого оператора. Хотя мог бы просто переадресовать на настоящий vk.com.



Код пришел от MegafonPro и по факту произошла подписка на tooportal.com.


А теперь главный вопрос: "Как такое возможно?"

AdWords формирует домен страницы приземления на основании ссылки, которую указал рекламодатель. Что это, баг AdWords? Нет. Все очень просто.

Рекламодатель указал в качестве страницы приземления адрес приложения ВКонтакте. Поэтому рекламная система абсолютно честно и правильно показывает домен vk.com.

А вот уже приложение ВКонтакте средиректило пользователя на домен фишера. Все происходит очень быстро и пользователь не понимает, что что-то не так. Причем домены меняются динамически самим приложением. Вот это приложение — vk.com/app3395740 (UPD: приложение заблокировано администрацией UPD 2: Ссылку в рекламе заменили на vk.com/app3397737.).

Кто виноват и что делать?

Сложно однозначно ответить на этот вопрос.

С одной стороны, рекламодатель должен иметь возможность приземлять пользователя в приложение или группу ВКонтакте. Тем более, сейчас вся активность, которая раньше крутилась вокруг всяких любительских хомяков (homepage) переместилась в социальные сети: группы и паблики. Явно, это не проблема на стороне AdWords.

Никто также не мешает разместить ссылку на приложение ВКонтакте в любом другом популярном месте в интернете, подписать пользователя, а затем отправить его на настоящее приложение.

Кажется, что безопасность приложений ВКонтакте — проблема ВКонтакте. Но даже тщательная проверка приложений ничего не даст. Программист может сделать так, чтобы первое время приложение было приложением, а через месяц или два (когда все проверки будут пройдены) превратилось в редирект на фишинговый сайт.

А что вы думаете по этому поводу?

UPD: Реакция ВКонтакте

Ребята из ВКонтакте — молодцы. Реагируют очень быстро. Вот такое предупреждение увидел только-что.

Теги:
Хабы:
+149
Комментарии 139
Комментарии Комментарии 139

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн