20:48
21/1/2019

Od dwóch tygodni otrzymujemy od Was sygnały, że dostajecie SMS-y z numeru 7247 o następującej treści:

7247
ZAWIADOMIENIE:

Twoj numer jest w BAZIE DANYCH przekazywanej do reklam i wysylek SMS. USUN SWOJ NUMER Z BAZY! Kliknij https://www.stop-sms.pl/f/t/=

Zanim opiszemy po co ktoś wysyła takie SMS-y i czy faktycznie z tej bazy da się wypisać, zobaczmy najpierw co się stanie, jeśli odbiorca SMS-a będzie podążał za instrukcjami. Po kliknięciu w link z SMS-a przeniesiony zostanie na stronę, która prosi go o podanie adresu e-mail:

Jeśli ktoś wprowadzi adres e-mail, zobaczy taką stronę:

i otrzyma następującą wiadomość:


Wiadomość posiada link, który przez domenę

http://mobime.emaillabs.info.pl (185.84.138.47)

przekierowuje na:

https://www.ankiety-konsumenckie[.]pl/form1/ (88.198.246.210)

Teraz już powód otrzymania SMS-a powinien być dla każdego jasny. Celem powyższego serwisu jest nakłonienie odbiorcy do podania swoich danych i wyrażenia zgód na marketingowe wiadomości — co zresztą jest wskazane, jak zwykle drobnym druczkiem w stopce:

Czyli strona stop-sms.pl, która ma chronić przed spamem prowadzi do zapisania się na spam.

Z kronikarskiego obowiązku:
stop-sms.pl has address 88.198.246.213
stop-sms.pl mail is handled by 10 mobileformats.home.pl.
created: 2017.10.06 10:30:36
last modified: 2018.09.13 11:12:19
SSL certificate: 2019.11.18

Czy to scam? A może ta blokada działa

Szczerze mówiąc, nie wiemy. SMS-y mogą być spamem wysyłanym masowo na numery, które “są losowane przez komputer” (jak to lubią się tłumaczyć spamerzy), ale mogą być kierowane także do osób, które kiedyś gdzieś nieopatrznie zostawił swój numer telefonu wraz ze zgodą na kontakt marketingowy.

Numer rozsyłający wiadomości 7247, to zgodnie z rejestrem UKE numer obsługiwany przez kilka podmiotów:

  • 4MATS.PL,
  • Digital Virgo S.A., ul. Inflancka 4, 00-189 Warszawa
  • RMS Sp. z o.o., ul. Cisowa 9, 20-703 Lublin

W stopce strony jednak pojawia się informacja, że Administratorem danych jest

    Mobime Lead Generation Sp. z o.o., Sp.k.,
    ul. Wiertnicza 45A,
    02-952 Warszawa

W stopce w ogóle jest ciekawie — blokada ma dotyczyć tylko SMS-ów z numerów należących do Digital Virgo (zgodnie z rejestrem UKE):

Blokada dotyczy niechcianych (nie inicjowanych przez użytkownika) wysyłek z następpujących numerów SMS Premium: 7075, 7120, 7123, 7150, 71750, 72016, 72075, 7247, 7211, 7219, 7220, 7223, 7350, 7306, 7311, 7312, 7328, 7540, 7546, 7550, 79466, 79978

ale równocześnie pojawia się informacja, że podane dane:

Dane osobowe podane w formularzu rejestracyjnym, obejmujące: adres email i numer telefonu, będą przetwarzane w celach marketingowych oraz zgodnie treścią udzielonych Administratorowi zgód. Podstawą prawną przetwarzania jest zgoda osoby, której dane dotyczą. Pod warunkiem wyrażenia stosownej zgody odbiorcami danych osobowych są kontrahenci i partnerzy Administratora (podmioty, które zamierzają przetwarzać dane osobowe w celach marketingowych lub udostępniać dane podmiotom emitującym reklamy w Internecie lub je zlecającym). Podanie danych jest dobrowolne. (…) W zakres czynności przetwarzania danych osobowych wchodzi profilowanie danych. Skutkami czynności, o których mowa w zdaniu poprzednim jest dobór oferty handlowej i ewentualne przesyłanie korespondencji marketingowej lub emisja (wyświetlanie) reklamy spersonalizowanej pod kątem Twoich zainteresowań. Sprzeciw w stosunku do czynności profilowania, jak również wszelkie inne uprawnienia osoby, której dane dotyczą można wykonać przez złożenie oświadczenia wykorzystując dane kontaktowe Administratora lub Inspektora Danych Osobowych wskazane we wstępie.

I tu robi się ciekawie

Czyli blokujemy (ale nie wiadomo jak efektywnie, bo nie jest to blokada operatora) otrzymywanie wiadomości z kilkunastu numerów premium (ale nie wszystkich możliwych!) i jednocześnie jesteśmy informowani, że nasze dane mogą być przetwarzane w celach marketingowych, o ile wyrazimy “stosowną zgodę”.

Treści zgód znajdziemy poniżej, ale mają domyślnie zaznaczone “NIE” i formularz “blokady” można po podaniu e-maila wysłać z tymi zgodami pozostawionymi na “NIE”. Można by powiedzieć, że nie wiadomo, czy to przeoczenie firmy czy faktycznie zgłoszenie przez ten formularz blokady działa jak go opisano i …nie powoduje zalewania nas spamem. Ciężko w to jednak uwierzyć, patrząc na poniższy kod JavaScript zaszyty w kodzie strony:

Innymi słowy — przy włączonym JavaScript, pierwsze kliknięcie w przycisk “blokuj” wysyłający formularz powoduje przełączenie wszystkich zgód marketingowych na TAK. Firma Mobime Lead Generation Sp. z o.o., Sp.k., stosuje więc oszukańcze praktyki, sprawiające że użytkownik nie zaznacza zgód świadomie. Jest to sprzeczne z zapisami ustawy i jeśli ktoś z Was wysłał ten formularz i czuje się oszukany to powinien donieść na firmę Mobime Lead Generation do PUODO.

Niesamowite zgody

Przytoczmy te zgody, które zgodnie z trendem “dark patterns” są “zlane”, napisane małym drukiem i bez wyraźnego rozróżnienia co jest zaznaczone (a przecież — aby dopełnić dzieła chaosu — wyróżnione jest “nie”). Musicie się mocno wysilić, aby zobaczyć, że pogrubione jest “nie”. Ale czy to oznacza, że to “nie” jest zaznaczone/aktywne? Niestety nie, bo przy wysyłaniu formularza wszystkie zgody zmieniają się na “TAK”.

Oświadczam, że zapoznałem się z treścią Regulaminu i go akceptuję. Tak Nie

Wyrażam zgodę na przetwarzanie moich danych osobowych przez Mobime Lead Generation Sp. z o.o., Sp.k. w celach marketingowych na rzecz podmiotów trzecich. Tak Nie

Wyrażam zgodę na udostępnienie moich danych osobowych przez Mobime Lead Generation Sp. z o.o., Sp.k. podmiotom trzecim, w tym partnerom, o których informacje znajdziesz TUTAJ, które będą je przetwarzały w celach marketingowych (w tym profilowania) jak też udostępniały dane podmiotom emitującym reklamy w Internecie lub je zlecającym. Tak Nie

Wyrażam zgodę na otrzymywanie informacji handlowych drogą elektroniczną (m.in. za pośrednictwem poczty elektronicznej, wiadomości w formacie SMS i MMS). Tak Nie

Wyrażam zgodę na otrzymywanie informacji marketingowych poprzez użycie automatycznych systemów wywołujących od Mobime Lead Generation Sp. z o.o., Sp.k. oraz od podmiotów trzecich, którym dane będą udostępnione. Tak Nie

Wyrażam zgodę na otrzymywanie informacji marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych od Mobime Lead Generation Sp. z o.o., Sp.k. oraz od podmiotów trzecich, którym dane będą udostępnione. Tak Nie

Wyrażam zgodę na profilowanie moich danych osobowych, czyli na zautomatyzowane przetwarzanie moich danych osobowych w celu oceny określonych czynników osobowych, poprzez analizę i prognozę w szczególności takich aspektów jak efekty pracy, sytuacja ekonomiczna, zdrowie, preferencje osobiste, zainteresowania, wiarygodność, zachowanie, lokalizacja oraz przemieszczenie się. Tak Nie

Oszukiwanie i podstawianie użytkownikom zgód to nie jedyny problem serwisu stop-sms.pl. Budowa linku rozsyłanego w wiadomościach SMS jest dość ciekawa.

https://www.stop-sms.pl/f/t/=XXXXXXXXX

Ktoś może mieć problemy…

Jeśli przyjrzymy się parametrowi t to zauważymy, że następuje po nim 9 liter, np. abcdefghi. Numer telefonu składa się z 9 cyfr… Widzieliśmy kilka linków i nie wszystkie litery alfabetu się pojawiają. Ale ponieważ z formularzu pojawia się numer telefonu, do którego link prowadzi, bardzo łatwo można ustalić, jaka litera odpowiada jakiej cyfrze. Programiści zastosowali… szyfr podstawieniowy, “złamany” już w czasach Cezara. Oto klucz:

0 - r
1 - c
2 - e
3 - t
4 - b
5 - z
6 - w
7 - h
8 - k
9 - n

Dlatego link w postaci https://www.stop-sms.pl/f/t=wwwwwwwww przeniesie was do formularza “blokady” SMS-ów z kilkunastu numerów premium i wyrażenia zgód na profilowanie i kontakt marketingowy (z cholera wie jakich innych numerów i e-maili) dla numeru 666-666-666.

Ponieważ zgody mówią, że przetwarzany będzie numer telefonu a potwierdzenie wypisania z numerów premium oraz zapisania na zgody marketingowe potwierdza się poprzez podanie dowolnego e-maila (jego odebranie i “zakliknięcie”), to ktoś złośliwy mógłby wygenerować wiele linków dla wielu numerów (zgodnie z kluczem powyżej) i “aktywować” ich abonentom spam.

Dostałem tego SMS-a — co robić, jak żyć?

Zignoruj tę i inne tego typu wiadomości, które otrzymujesz SMS-em, a których się nie spodziewasz (zawsze możesz nam je zgłosić i z przyjemnością je przeanalizujemy).

Pamiętaj też, że jeśli chcesz zablokować SMS-y Premium (a warto to zrobić), to lepiej jest użyć oficjalnych kodów operatora. Wszystkie wypisaliśmy w artykule pt. Nie daj się naciągaczom, zablokuj usługi Premium Rate — instrukcja dla każdej sieci. Jeśli jeszcze nie masz aktywnej tej blokady — włącz ją. Sobie i każdemu z bliskich Ci osób. Warto, kiedyś nam podziękujesz, zwłaszcza jeśli jesteś abonentem T-Mobile i korzystasz z mobilnego internetu na telefonie, tablecie lub routerze.

Nie daj się oszukać w sieci — wpadnij na nasz wykład

Naciąganie na SMS-y i sprytne nakłanianie (żeby nie napisać “wyłudzanie”) do podawania swoich danych osobowych pod pretekstem wygrania nagrody to tylko dwie ze sztuczek jakimi posługują się m.in. przestępcy i oszuści aby okraść Cię z danych osobowych i pieniędzy. Niestety, ataków jest więcej. O wszystkich aktualnie wykorzystywanych atakach skierowanych w Polaków korzystających z internetu na smartfonie i komputerze opowiadamy na naszym wykładzie pt. Jak nie dać się zhackować?. Niebawem odwiedzimy i Twoje miasto:

Jeśli chcesz dołączyć do grona lepiej zabezpieczonych Polaków, to już teraz zarejestruj się na nasz wykład.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Rząd prowadziłby karę dożywocia za naciąganie na SMS i by się skończyło okradanie mało ogarniętych ludzi.

    • Jak najbardziej! Oj, poczekaj…. That doesn’t compute…. W Gdańsku mimo ktoś dźgnął Przezydenta i może dostać ‘lifetime’… Coś chyba nie działa, wiesz? W PL prawo jest +-niezłe, problemem jest jego egzekucja.

    • michał 2019.01.21 22:53
      Prawo w Polsce jest nieuczciwe ,a sędziowie stronniczy.
      Zabijesz prezydenta dostaniesz dożywocie. Pozbawisz życia zwykłego obywatela posiedzisz max. 15 lat.

    • Michał, polskie prawo przewiduje wiele czynników, które decydują o finalnym wymiarze kary. Samo to, kogo zabijesz, nie determinuje jeszcze kary, więc Twój argument jest trochę inwalidą.
      Zresztą, wpieprzanie polityki nawet do tematu SMS-ów Premium, to trzeba mieć nie tylko mozg przeprany, ale i stałe połączenie z Woronicza. To musiałby być ciekawy protokół ;)

  2. Aktualizacja 22.01.2019, godz. 6:32. Obecnie Administratorem danych osobowych jest już Datatrade Sp. z o.o. z siedzibą w Warszawie (02-952) ul. Wiertnicza 45A.
    KRS: 0000704002, REGON: 368757979
    Ciekawe jak pozyskane dane osobowe przemigrowały z Mobime Lead Generation do nowego podmiotu.

  3. Kolejny dowód na to, że RODO to w Polsce fikcja.

  4. Reklama Datatrade:
    “DYSPONUJEMY BAZĄ OK. 15 000 000 numerów abonentów polskich sieci komórkowych

    OFERUJEMY BAZĘ PONAD 2 000 000 UŻYTKOWNIKÓW z pełnym profilem społeczno-demograficznym i behawioralnym”

  5. https://web.archive.org/web/20160224132715/http://www.mobileformats.pl/

    Podobne to jakieś. To nie pierwsze podejście Mobile Formats i firm pochodnych do naciągania przez sms.

  6. Pierwsze, co zrobiłem, to po otrzymaniu tego SMS-a wszedłem na stronę stop-sms.pl. Od razu zobaczyłem tekst u dołu, że “Administratorem danych osobowych jest Datatrade Sp. z o.o.”. Myślę – mam się wypisać, a tu mi piszą o jakichś danych osobowych? Znaczy, że będę musiał je podać. Czyli zaświeciło się światełko ostrzegawcze. Drugie światełko – nazwa firmy. Datatrade (handel danymi). Drugie światełko ostrzegawcze. Trzecie, ostatnie, zaświeciło się po wygooglowaniu firmy Datatrade. Pierwszy wynik: datatrade.pl. A na stronie wszystko jasno opisane: “DYSPONUJEMY BAZĄ OK.15 000 000 numerów abonentów polskich sieci komórkowych. OFERUJEMY BAZĘ PONAD 2 000 000 UŻYTKOWNIKÓW z pełnym profilem społeczno-demograficznym i behawioralnym. REALIZUJEMY SKUTECZNE KAMPANIE marketingu mobilnego, stosując różne metody zaangażowania użytkowników (SMS / MMS / IVR / email).” To mi wystarczyło. Wyszedłem.

    • już usunęli na datatrade.pl jakiekolwiek info o ilości pozyskanych “danych”. Ach Ci polscy Janusze biznesu

  7. Co wy tu o UODO bredzicie. To organizacja która wasze zgłoszenia ma głęboko. Szkoda czasu. Doświadczyłem organoleptycznie jeszcze jako GIODO. Oni nic nie mogą, proponują założenie sprawy w sądzie.

    • O ile w ogóle coś zrobią, bo raczej mają w d… sprawy Kowalskiego.

  8. Dla nas Polaków prawo powinno być zero jedynkowe albo można albo nie można i każde złamanie prawa powinno być bezwarunkowo karane to może, może za jakieś 100 lat to się utrwali w naszej świadomości. Wszystkie określenia w prawie “można”, “należy.”,”dopuszcza się” itp uruchamiają u nas gen (ja to nazywam kombinowania) “sprytu” i zaraz taki delikwent myśli jak to obejść?.. hmmm, “należy uiścić podatek” to nie znaczy musi! itp itd, każdy z nas to przerabiał w różnych sytuacjach. Natomiast ja jestem pewien jednego skoro coś raz już wpadło do internetu to żadne RODO czy inne ustrojstwo tego nie zablokuje jest to system stworzony przez prawników i dla prawników oraz bogaczy a nie dla zwykłych ludzi bez kasy. Jeżeli chodzi o firmę wspomnianą w artykule to uważam, że jeżeli u nas działałyby instytucje chroniące przed wyłudzeniem danych to taki artykuł nie zdążyłby powstać a w tej firmie bałaby już kontrola.

  9. “strona niedostępna…” zwinęli się już, tyle ich widziano ;)

  10. Znowu Digital Virgo! Mnie okradli na 39 PLNów!

  11. “strona niedostępna…”
    A chciałem udzielić tej zgody na ich własny numer…

  12. A czy ktoś sprawdził czy oni na prawdę blokują te numery?

  13. Mobile Formats, to ich zabawka.

  14. O już zmienili “Administratora”
    “Informujemy, że Administratorem danych osobowych jest Datatrade Sp. z o.o. z siedzibą w Warszawie (02-952) ul. Wiertnicza 45A, biuro@datatrade.pl.”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: