اخیرا آذری جهرمی، وزیر ارتباطات ایران، طی پیامی در توییتر با هشتگ پایان وَس (vas) ، خبر از طرحی داد که مردم می‌توانند از شرکت‌هایی که بدون اجازه آنها از حسابشان پولی اخذ کرده‌اند شکایت کنند. اما وَس چیست؟ سود اپراتورها و شرکت‌های ارزش افزوده از این روش به چه صورت است؟ و مهمتر اینکه آیا اپراتورها در جریان این کلاه‌برداری هستند یا خیر؟ از آنجایی که تجربه دو همکاری در این شرکت‌ها را دارم تصمیم گرفتم به صورت فنی‌تر به این موضوع بپردازم و با مستنداتی که ارائه خواهم کرد به این موضوع می‌پردازم که شرکت‌ها از چه طریقی به این کلاه‌برداری دست زده‌اند و آیا امکان دارد اپراتورها از این کلاه‌برداریها بی خبر باشند یا آنها هم شریک دزد و رفیق قافله هستند؟


دانشگاه برنامه نویسان کلاهبرداری شرکت‌های ارزش افزوده


وس (VAS) چیست؟

طبق مستنداتی که شرکت‌های ارزش‌افزوده در اختیار برنامه‌نویسانشان برای تولید اپلیکیشن قرار می‌دهند سرویس‌های ارزش‌افزوده به دو صورت زیر امکان‌پذیر است:

سرویس 2G: این نوع سرویس صرفا پیامکی میباشد بدین صورت که مشترک با عضویت در یک سرویس 2G، روزانه یک یا چند محتوای پیامکی از تامین کننده دریافت کرده و هزینه پیامکهای ارسال شده از مخاطب گرفته میشود یعنی مشترک از طریق قبض تلفن یا کسر از اعتبار،هزینه سرویس را میپردازد.

سرویس 3G:
در این نوع سرویس، تامین کننده خدمات خود را از طریق بستری به جز پیامک از جمله اپلیکیشن و وبسایت ارائه می‌نماید. بدین ترتیب با عضویت مشترک در سرویس 3G، کاربر میتواند از خدمات اپلیکیشن یا وبسایت استفاده نماید و روزانه هزینه سرویس برای وی لحاظ میگردد. همچنین میتوان امکان پرداخت درون برنامه به ازای خدمات را فراهم نمود.

سود شرکتها و اپراتورها

همراه اول به دو طریق خدمات ارزش افزوده ارائه می‌کند:

مستقیم : در این روش شرکتها به صورت مستقیم با همراه اول قرارداد می‌بندند. این روش به ندرت اتفاق می‌افتد زیرا تعهدات بسیار سنگین در حد میلیارد تومان نیاز است.
اگریگیتور: در این روش چند شرکت وجود دارند که مانند یک واسط میان شرکت‌های ارزش افزوده و همراه اول عمل می‌کنند. لیسا اگریگیتورهایی که با همراه اول کار می‌کنند در این لینک قابل مشاهده است. (کلیک کنید)

اگریگیتورها به عنوان واسطه بین شرکت‌های ارزش افزوده و همراه اول عمل می‌کنند. و در این بین 10 درصد درآمد پروژه متعلق به آنهاست. 30 درصد همراه اول و مابقی به شرکت‌های ارزش افزوده است.

شرکت‌های ارزش افزوده چگونه کلاهبرداری می‌کنند؟

قبل از ادامه بحث ذکر این نکته ضروری است که در این نوشته به هیچ وجه قصد این را ندارم که همه شرکت های ارزش افزوده را متهم به کلاهبرداری کنم! چه بسا که اپلیکیشن‌های خوبی در این زمینه تولید و در بستر درست به درآمدزایی مناسبی رسیدند..

اما کاربران چگونه عضو این سرویس‌ها می‌شوند؟ هر کاربر برای عضویت در این سرویسها به دو صورت می‌تواند اقدام کند. از طریق اپلیکیشن و یا از طریق ارسال پیامک به سرشماره سرویس. همه مراحل عضویت در سرویس ارزش افزوده از طریق همراه اول صورت می‌گیرد و شرکتها به تنهایی نمی‌توانند هیچ دخالتی در این مساله داشته باشند. در واقع وب سرویسی که همراه اول برای عضویت کاربران طراحی کرده است (که این وب‌سرویس از نوع soap است و برخی از توابع آن را در تصاویر زیر قابل مشاهده است) به گونه ای است که حتی اپلیکیشنهای مخرب و بدافزارها هم دسترسی مستقیم به دیتابیس همراه اول ندارند که بتوانند بدون اطلاع کاربر آن را عضو سرویس خاصی کنند. به زبان دیگر شما چه از طریق اپلیکیشن و چه از طریق پیامک بخواهید عضو سرویس شوید (و یا حتی بخواهند شما را بدون اینکه مطلع شوید عضو سرویسی کنند) نیاز به تایید پیامکی از جانب شما دارد.

با توجه به توضیحات ارائه شده پرسشی که پیش می‌آید این است: پس این کلاه برداریها چگونه انجام شده است؟

یک جواب منطقی به این سوال می‌تواند اشتباهی باشد که از سمت کاربران صورت گرفته است. و آن نصب اپلیکیشنهایی است که به کاربران خدمات رایگان ارائه می‌کند و در قبال آن مجوز دسترسی کامل به پیامکهای کاربر را می‌گیرند. با این شیوه کنترل پیامکهای کاربران به دست شیادان می‌افتد و خیلی راحت از طریق گوشی کاربران آنها را عضو سرویسهای مختلف می‌کنند و شما بدون اینکه اطلاع داشته باشید روزانه از حسابتان شارژ کم می‌شود.

اما جای مبهم این کلاهبرداریها آن جاییست که گوشی‌های غیرهوشمند هم از تیررس این کلاه‌برداری‌ها در امان نمانده است. با توجه به اینکه امکان نصب بدافزارها بر روی این گوشی‌ها وجو ندارد اپراتورها باید پاسخ این پرسش را بدهند که با چه روشی گوشی‌های غیرهوشمند هم در این کلاه‌برداری ها گرفتار شده‌اند. آیا اپراتورها هم در این کلاهبرداری نقشی داشته‌اند؟

شاید این نوع کلاه‌برداری زنگ خطری برای کاربران ایرانی به صدا درآورد که با وسواس بیشتری اپلیکیشنها را نصب کنند، به هر اپلیکیشنی اعتماد نکنند و به راحتی مجوز دسترسی‌های حساس (مثل تماس و پیامک) را به هر اپلیکیشنی ندهند. به عنوان نمونه یک درخواست مجوز برای دسترسی کامل به پیامک های شما در تصویر زیر قابل مشاهده است که شما با تایید دسترسی اجازه خواندن همه پیامهایتان را به راحتی به نرم افزار مورد نظر خواهید داد! حال ممکن است در پیامهای شما اطلاعات با ارزشی همچون شماره کارت، رمز دوم و … وجود داشته باشد. اگر فکر میکنید که ممکن است به نرم‌افزاری چنین دسترسی داده باشید خواندن این لینک به شما کمک می‌کند که دسترسی‌های اپلیکیشنهایتان را مدیریت کنید. (کلیک کنید.)

دانشگاه برنامه نویسان کلاهبرداری شرکت‌های ارزش افزوده
مراقب این دسترسی ها در گوشیتان باشید!