Вы знали, что на каршеринге можно кататься с чужого профиля? Нет? А это так. И очень многие пользуются этой возможностью.
Сейчас в интернете работают специальные сервисы, предоставляющие рабочие профили для желающих прокатиться на каршеринге. Они продают полностью активные аккаунты.
Особенно это актуально на фоне последней новости о YouDrive. Сервис теперь позволяет водителям делиться личными автомобилями для расширения автопарка каршеринга.
Последствия от «левых» аккаунтов могут быть крайне негативными как для владельцев профилей, так и для собственников автомобилей. Разбили тачку, а платить кто будет? И всё в этом духе.
Зачем вообще нужен «левый» аккаунт
Причины воспользоваться такой фичей могут быть самыми разными. Например, желание скрыть свой реальный возраст и сесть пораньше за руль.
Либо возможность утаить реальный стаж и начать пользоваться услугами сервиса раньше времени, желание кататься, как душе угодно (любые штрафы придут пользователю, указанному в профиле, а не реальному водителю).
Как это работает
По вашему аккаунту может кататься кто угодно
Со стороны мошенников:
Мошенники предварительно обманным путём выманивают фотографии паспортов и лиц для общей базы. А также данные аккаунтов в каршеринг-сервисах.
Либо пытаются получить доступ к профилям с помощью дистанционного взлома. Этого удаётся добиться сразу несколькими способами, судя по анализу Лаборатории Касперского:
1. Ненадежные коды в SMS. Многие каршеринговые приложения используют пару номер телефона/SMS-код для авторизации. Как правило, пароль в сообщении состоит из четырёх цифр, а большого ограничения на ввод нет.
Сервер продолжает отвечать даже после 1000 попыток перебора пароля
Следовательно, пароль к учетной записи можно подобрать с помощью простой утилиты для перебора.
2. Большинство приложений не защищено от MITM-атак. С их помощью можно получить содержимое авторизационной сессии. А из неё не проблема выкачать необходимые данные каршеринг-аккаунта.
Пример успешной атаки
3. Приложения подвержены краже данных с Android-устройств. Злоумышленники могут «заразить» смартфон под управлением этой операционки и перехватить входящее SMS с кодом для авторизации.
Либо перехватить само каршеринг-приложение. А поверх него поставить фейковое окно для ввода данных.
Собственно, всё. Дальше полученные данные аккаунтов идут на продажу на специальных сайтах, либо досках объявлений. Типа Авито.
Со стороны юзеров:
Пользователь открывает соответствующий сайт по продаже профилей, выбирает необходимый каршеринг-сервис, оплачивает и получает данные для авторизации.
Для оплаты поездки на арендованном авто нужно всего-лишь пополнить привязанную виртуальную банковскую карту. Либо привязать свою.
Какие бывают мошенники
Пример продажи аккаунта в Telegram
Все приведённые ниже типы людей продают аккаунты каршерингов в интернете. Помните, все они мошенники и не дают никаких гарантий на свои «услуги».
1. Кидалы.
Без них никуда. Желающих быстро и легко заработать много, потенциальных жертв ещё больше. Кидалы — это люди, создающие фейковые объявления о продаже аккаунтов.
Расценки одного из пользователей Авито
Они регистрируют кошельки QIWI или Яндекс.Денег и получают «скромную» плату за свои услуги. Разумеется, деньги уходят вникуда, данные никто вам не даст.
2. Обычные продавцы.
Это тип продавцов, которые создают аккаунты через друзей, родственников, соседей и так далее. В общем, через тех, с кем можно договориться.
Пример кражи данных аккаунта, о которой узнал владелец профиля
Правда, далеко не всегда владельцы паспорта и прав знают, куда уходят их данные. Подставить такой «друг», в случае чего, может сильно.
Так работает, например, этот сайт.
Важно: подобные сервисы продают аккаунты с уже имеющейся картой. И далеко не всегда она виртуальная. Банковская карта привязана к владельцу профиля, а значит после первой поездки ему сообщат о списании денег.
Это одноразовая поездка, которая может закончиться тюрьмой.
3. Сотрудники каршеринга.
Сотрудники каршеринга могут не продавать аккаунты, а сами ими пользоваться
Ну и куда же без самих сотрудников каршеринг-компаний.
Многие люди бросают свои аккаунты из-за ненужности, просто удалив приложение. Рабочие сервиса видят, что такой профиль не используется в течение длительного промежутка времени и выставляют его на продажу.
Покупая у них аккаунт, вы ставите себя под угрозу. Вычислить такого мошенника не составит большого труда. Профиль-то активный, а значит владельца оповещают по SMS или на почту.
Какие могут быть последствия
Самое маленькое и безобидное, что может случиться — вас кинут на деньги, профиль никто не предоставит.
А вот дальше только хуже. Садясь за руль арендованного на другого человека автомобиля, вы подпадаете под ч. 1 ст. 166 УК РФ. Это фактически угон автомобиля. За что положен реальный срок от одного года, либо штраф от 120 000 рублей.
Если в машине не только вы, то это классифицируется, как угон группой из нескольких лиц по ч. 2 ст. 166 УК РФ. И за это сажают на 7 лет.
А ещё вам могут приписать ст. 327 УК РФ. Она касается как самого продавца, так и покупателя: «за продажу и сознательную покупку подложных документов с корыстной целью».
За это могут посадить в тюрьму на срок до двух лет.
Как обезопасить свой аккаунт
Недостаточно просто удалить приложение со смартфона. В системе ваш профиль остаётся и дальше действует.
Чтобы полностью обезопасить себя от мошеннических действий, позвоните в сам каршеринг и потребуйте расторжения договора. Если необходимо, езжайте в офис компании.
Важно: профиль должен быть деактивирован сотрудниками каршеринг-сервиса. Только тогда вы можете спать спокойно.
Советы каршеринг-компаниям
1. Запретите пользователям загружать фотографии из галереи. Только реальное фото здесь и сейчас.
2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.
3. Привязывайте IMEI устройства к аккаунту. Для каждого нового требуйте фотографию с паспортом.
Так приложение будто чётко знать, что автомобилем хочет воспользоваться владелец профиля и никто другой. IMEI трудно подделать.
(46 голосов, общий рейтинг: 3.67 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
30 комментариев
Форум →IMEI нельзя подделать ?
Ору)))0
@Alexander, :) а ну как угадай какой был на том телефоне где регистрировали :)
@Alexander, Чтобы его подделать, его надо знать – попробуй подбери.
@FiLunder_7, это уже другой вопрос
там написано – нельзя подделать, и это не так right?
Найти на какой и прочие трудности к этому не относятся.
“Привязывайте IMEI устройства к аккаунту.” –
IMEI телефона с iOS нельзя получить без использования Private API. А с использованием – приложение не пропустят в App Store
@Andrew, наверное можно использовать identifierForVendor для iOS.
Советы для каршеринга в конце статьи- прямой сбор данных. В комментариях на этот счет обычно пишут “никакой личной жизни, нафиг не дам никому свои документы, да зкчем им мой паспорт?” И подобное
Советы фигня:
1. Фоткаем фотку
2. Кто это будет проверять? и как? Искусственный интеллект? Сомнительно..
3. Технически не реализуемо в iOS
@Pahanius,
1. Не катит – данные и фотографии при регистрации проверяются человеком. надо очень круто изголиться, чтобы в фотографии фотографии не распознали обман.
2. УЖЕ какой-то каршеринг (не помню, какой) просит перед арендой сделать селфач на фоне машины. Проверять это может и движок распознавания лиц, это не рокет сайнс, и оператор после аренды авто, и в случае расхождения блочить аккаунт навсегда.
@Dave, А я, как законный приобретатель услуги, если у меня украли аккаунт , буду делать по офисам и доказывать что украли?
У меня Я.Драйв списывал деньги неделю! И на письма не отвечали. Подал в суд. Выиграл.
“2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.”
Так и представляю себе картину:
20 градусов мороза, идет снег, дует ветер. Вы задубевшими руками пытаетесь сделать селфи с паспортом на фоне номера автомобиля, а приложение раз за разом просит вас перефотографироваться.
@scream13, еще желательно ночью и на оживленной дороге, чтобы как следует ощутить на своем лице всю безопасность московских реагентов)))) (роспотребнадзор же не просто так утверждает, что они полностью безопасны)
@scream13, а еще темища и нет освещения. И номер грязный)
Артем, по вашим вредным советам:
2. я как-то себе плохо представляю селфи ночью с лицом, паспортом и номером машины ночью где-то на обочине каширки, к примеру
3. на ios приложение не может узнать imei аппарата, да и с какой радости я должен давать каршеринговому сервису такое количество иноформации о себе? у них и так есть паспорт и ВУ, и вы сами пишете, что они могут сливать инфу о пользователях, и тут же вы предлагаете дать им еще больше возможностей это делать.
На мой взгляд, было бы достаточно СМС-ки на привязанный к профилю номер телефона с кодом для иммобилайзера/ввода в приложении.
@tov.Polkovnik, в теории тот же вирус может его перехватывать. Так было на ранних Андройдах и Сбербанке.
@toshik, теорик мамкин, закрыта уязвимость ещё в версии 4.4. Сейчас актуальный андроид 9.0, твои данные устарели на 5 лет.
@toshik, вирус пользователю надо ещё умудриться закинуть, да и не актуальна эта проблема сегодня. И слишком много геморроя, чтобы покататься на казенной машине, не считая иных рисков.
@tov.Polkovnik, +100500, всё гениальное просто
Вот и “допрыгались” с инновациями а-ля каршеринг. Не учли, что людская натура по себе гниловатая в общем-то. А какая хорошая была идея, а жаль…
ко всему этому еще лучше указывать только дополнительную банковскую карту и ставить на нее лимит 500 рублей
какой сайт – такие и советы!
Сейчас менты останавливать начали каршеринг. Просят показать ФИО в аккаунте, он должен совпадать с фио в правах.
@FedorS, и что, кто-то гайцам показыаает свой телефон? И как они обосновывают своё требование?
@FedorS, отлично, за свой счёт ещё и постоять с гайцами.
> Большинство приложений не защищено от MITM-атак
орнул
@bobrosoft, а че орнул то? так и есть.
Автор! Ну если ты указываешь статьи УК – пиши правильно.
ч2, ст 166 угон группой лиц, а ты пишешь кража! Это два разных понятия в УК
YouDrive иногда просит сфотографироваться.
очень вредный совет про привязывание IMEI.
У меня с собой всегда есть айфон и айпад. Если айфон сел – айпад выручает. Так вот, я давно заметил, что многие приложения зачем-то “привязаны”. Залогинился на айпаде – вышибло с айфона, и наоборот. Редкие приложения этим не грешат…
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему на iPhone и Mac перестала работать почта Mail.ru
Как отвязать iPhone от оператора?
Как смотреть ролики YouTube на Apple Watch
Стоит ли опасаться СМС из прошлого на iPhone
Как отвязать iPhone от iCloud предыдущего владельца?
Почему отличается номер модели iPhone или iPad в Настройках и на сайте Apple
Что делать, если пропала вибрация в будильнике на Apple Watch
Почему iPhone не заряжается до 100%