Мобильные подписки, AdWords, приложение Вконтакте и фишинг

от автора

Долго думал над тем, как правильно сформулировать заголовок, чтобы он отражал суть ситуации. Я хочу рассказать об интересном способе развода пользователей ВКонтакте, с которым сегодня пришлось столкнуться.

Не секрет, что очень много пользователей вводят название сайта, на который хотят попасть, в поисковой строке. Выше вы видите рекламу в выдаче google по запросу «vk.com». Казалось бы, в качестве домена приземления указан www.vk.com и даже внимательный пользователь со спокойной совестью кликает по объявлению. И попадает на… сайт с незамысловатым доменом вида vk.com.uohu8.tk

Пользователю предлагается восстановить контроль над учетной записью:

  • ввести номер телефона,
  • получить код в сообщении,
  • ввести код в форму.

Правда, схема у мошенников могла бы быть и лучше, после ввода кода из сообщения фишинговый сайт говорит об ошибке у оператора сотовой связи и просит дать ему номер у другого оператора. Хотя мог бы просто переадресовать на настоящий vk.com.

Код пришел от MegafonPro и по факту произошла подписка на tooportal.com.

А теперь главный вопрос: "Как такое возможно?"

AdWords формирует домен страницы приземления на основании ссылки, которую указал рекламодатель. Что это баг AdWords? Нет. Все очень просто.

Рекламодатель указал в качестве страницы приземления адрес приложения ВКонтакте. Поэтому рекламная система абсолютно честно и правильно показывает домен vk.com.

А вот уже приложение ВКонтакте средиректило пользователя на домен фишера. Все происходит очень быстро и пользователь не понимает, что что-то не так. Причем домены меняются динамически самим приложением. Вот это приложение — vk.com/app3395740.

Кто виноват и что делать?

Сложно однозначно ответить на этот вопрос.

С одной стороны, рекламодатель должен иметь возможность приземлять пользователя в приложение или группу ВКонтакте. Тем более, сейчас вся активность, которая раньше крутилась вокруг всяких любительских хомяков (homepage) переместилась в социальные сети: группы и паблики. Явно, это е проблема на стороне AdWords.

Никто также не мешает разместить ссылку на приложение ВКонтакте в любом другом популярном месте в интернете, подписать пользователя, а затем отправить его на настоящее приложение.

Кажется, что безопасность приложений ВКонтакте — проблема ВКонтакте. Но даже тщательная проверка приложений ничего не даст. Программист может сделать так, чтобы первое время приложение было приложением, а через месяц или два (когда все проверки будут пройдены) превратилось в редирект на фишинговый сайт.

А что вы думаете по этому поводу?

ссылка на оригинал статьи http://habrahabr.ru/post/168121/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *