Как делают фейковые аккаунты в каршеринге

Артём Баусов avatar | 30
FavoriteLoading В закладки
Как делают фейковые аккаунты в каршеринге

Вы знали, что на каршеринге можно кататься с чужого профиля? Нет? А это так. И очень многие пользуются этой возможностью.

Сейчас в интернете работают специальные сервисы, предоставляющие рабочие профили для желающих прокатиться на каршеринге. Они продают полностью активные аккаунты.

Особенно это актуально на фоне последней новости о YouDrive. Сервис теперь позволяет водителям делиться личными автомобилями для расширения автопарка каршеринга.

Последствия от «левых» аккаунтов могут быть крайне негативными как для владельцев профилей, так и для собственников автомобилей. Разбили тачку, а платить кто будет? И всё в этом духе.

Зачем вообще нужен «левый» аккаунт

Причины воспользоваться такой фичей могут быть самыми разными. Например, желание скрыть свой реальный возраст и сесть пораньше за руль.

Либо возможность утаить реальный стаж и начать пользоваться услугами сервиса раньше времени, желание кататься, как душе угодно (любые штрафы придут пользователю, указанному в профиле, а не реальному водителю).

Как это работает


По вашему аккаунту может кататься кто угодно

Со стороны мошенников:

Мошенники предварительно обманным путём выманивают фотографии паспортов и лиц для общей базы. А также данные аккаунтов в каршеринг-сервисах.

Либо пытаются получить доступ к профилям с помощью дистанционного взлома. Этого удаётся добиться сразу несколькими способами, судя по анализу Лаборатории Касперского:

1. Ненадежные коды в SMS. Многие каршеринговые приложения используют пару номер телефона/SMS-код для авторизации. Как правило, пароль в сообщении состоит из четырёх цифр, а большого ограничения на ввод нет.


Сервер продолжает отвечать даже после 1000 попыток перебора пароля

Следовательно, пароль к учетной записи можно подобрать с помощью простой утилиты для перебора.

2. Большинство приложений не защищено от MITM-атак. С их помощью можно получить содержимое авторизационной сессии. А из неё не проблема выкачать необходимые данные каршеринг-аккаунта.


Пример успешной атаки

3. Приложения подвержены краже данных с Android-устройств. Злоумышленники могут «заразить» смартфон под управлением этой операционки и перехватить входящее SMS с кодом для авторизации.

Либо перехватить само каршеринг-приложение. А поверх него поставить фейковое окно для ввода данных.

Собственно, всё. Дальше полученные данные аккаунтов идут на продажу на специальных сайтах, либо досках объявлений. Типа Авито.

Со стороны юзеров:

Пользователь открывает соответствующий сайт по продаже профилей, выбирает необходимый каршеринг-сервис, оплачивает и получает данные для авторизации.

Для оплаты поездки на арендованном авто нужно всего-лишь пополнить привязанную виртуальную банковскую карту. Либо привязать свою.

Какие бывают мошенники


Пример продажи аккаунта в Telegram

Все приведённые ниже типы людей продают аккаунты каршерингов в интернете. Помните, все они мошенники и не дают никаких гарантий на свои «услуги».

1. Кидалы.

Без них никуда. Желающих быстро и легко заработать много, потенциальных жертв ещё больше. Кидалы — это люди, создающие фейковые объявления о продаже аккаунтов.


Расценки одного из пользователей Авито

Они регистрируют кошельки QIWI или Яндекс.Денег и получают «скромную» плату за свои услуги. Разумеется, деньги уходят вникуда, данные никто вам не даст.

2. Обычные продавцы.

Это тип продавцов, которые создают аккаунты через друзей, родственников, соседей и так далее. В общем, через тех, с кем можно договориться.


Пример кражи данных аккаунта, о которой узнал владелец профиля

Правда, далеко не всегда владельцы паспорта и прав знают, куда уходят их данные. Подставить такой «друг», в случае чего, может сильно.

Так работает, например, этот сайт.

Важно: подобные сервисы продают аккаунты с уже имеющейся картой. И далеко не всегда она виртуальная. Банковская карта привязана к владельцу профиля, а значит после первой поездки ему сообщат о списании денег.

Это одноразовая поездка, которая может закончиться тюрьмой.

3. Сотрудники каршеринга.


Сотрудники каршеринга могут не продавать аккаунты, а сами ими пользоваться

Ну и куда же без самих сотрудников каршеринг-компаний.

Многие люди бросают свои аккаунты из-за ненужности, просто удалив приложение. Рабочие сервиса видят, что такой профиль не используется в течение длительного промежутка времени и выставляют его на продажу.

Покупая у них аккаунт, вы ставите себя под угрозу. Вычислить такого мошенника не составит большого труда. Профиль-то активный, а значит владельца оповещают по SMS или на почту.

Какие могут быть последствия

Самое маленькое и безобидное, что может случиться — вас кинут на деньги, профиль никто не предоставит.

А вот дальше только хуже. Садясь за руль арендованного на другого человека автомобиля, вы подпадаете под ч. 1 ст. 166 УК РФ. Это фактически угон автомобиля. За что положен реальный срок от одного года, либо штраф от 120 000 рублей.

Если в машине не только вы, то это классифицируется, как угон группой из нескольких лиц по ч. 2 ст. 166 УК РФ. И за это сажают на 7 лет.

А ещё вам могут приписать ст. 327 УК РФ. Она касается как самого продавца, так и покупателя: «за продажу и сознательную покупку подложных документов с корыстной целью».

За это могут посадить в тюрьму на срок до двух лет.

Как обезопасить свой аккаунт

Недостаточно просто удалить приложение со смартфона. В системе ваш профиль остаётся и дальше действует.

Чтобы полностью обезопасить себя от мошеннических действий, позвоните в сам каршеринг и потребуйте расторжения договора. Если необходимо, езжайте в офис компании.

Важно: профиль должен быть деактивирован сотрудниками каршеринг-сервиса. Только тогда вы можете спать спокойно.

Советы каршеринг-компаниям

1. Запретите пользователям загружать фотографии из галереи. Только реальное фото здесь и сейчас.

2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.

3. Привязывайте IMEI устройства к аккаунту. Для каждого нового требуйте фотографию с паспортом.

Так приложение будто чётко знать, что автомобилем хочет воспользоваться владелец профиля и никто другой. IMEI трудно подделать.

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (3.57 из 5, оценили: 35)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
За рулём может оказаться кто угодно. А отвечать придётся вам.
Прокомментировать

🙈 Комментарии 30

  1. Alexander avatar
    Alexander25 января в 10:20
    6

    IMEI нельзя подделать ?
    Ору)))0

    red2121 avatar
    red212125 января в 10:38
    2

    @Alexander, :) а ну как угадай какой был на том телефоне где регистрировали :)

    FiLunder_7 avatar
    FiLunder_725 января в 10:40
    3

    @Alexander, Чтобы его подделать, его надо знать – попробуй подбери.

    Alexander avatar
    Alexander25 января в 10:46
    0

    @FiLunder_7, это уже другой вопрос
    там написано – нельзя подделать, и это не так right?
    Найти на какой и прочие трудности к этому не относятся.

  2. Andrew avatar
    Andrew25 января в 10:30
    0

    “Привязывайте IMEI устройства к аккаунту.” –
    IMEI телефона с iOS нельзя получить без использования Private API. А с использованием – приложение не пропустят в App Store

    4ndrew avatar
    4ndrew25 января в 20:22
    0

    @Andrew, наверное можно использовать identifierForVendor для iOS.

  3. VsG avatar
    VsG25 января в 10:58
    0

    Советы для каршеринга в конце статьи- прямой сбор данных. В комментариях на этот счет обычно пишут “никакой личной жизни, нафиг не дам никому свои документы, да зкчем им мой паспорт?” И подобное

  4. Pahanius avatar
    Pahanius25 января в 11:45
    0

    Советы фигня:
    1. Фоткаем фотку
    2. Кто это будет проверять? и как? Искусственный интеллект? Сомнительно..
    3. Технически не реализуемо в iOS

    Dave avatar
    Dave25 января в 14:57
    0

    @Pahanius,
    1. Не катит – данные и фотографии при регистрации проверяются человеком. надо очень круто изголиться, чтобы в фотографии фотографии не распознали обман.
    2. УЖЕ какой-то каршеринг (не помню, какой) просит перед арендой сделать селфач на фоне машины. Проверять это может и движок распознавания лиц, это не рокет сайнс, и оператор после аренды авто, и в случае расхождения блочить аккаунт навсегда.

    toshik25 января в 17:21
    0

    @Dave, А я, как законный приобретатель услуги, если у меня украли аккаунт , буду делать по офисам и доказывать что украли?
    У меня Я.Драйв списывал деньги неделю! И на письма не отвечали. Подал в суд. Выиграл.

  5. scream13 avatar
    scream1325 января в 11:45
    1

    “2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.”
    Так и представляю себе картину:
    20 градусов мороза, идет снег, дует ветер. Вы задубевшими руками пытаетесь сделать селфи с паспортом на фоне номера автомобиля, а приложение раз за разом просит вас перефотографироваться.

    m00vie avatar
    m00vie25 января в 11:54
    2

    @scream13, еще желательно ночью и на оживленной дороге, чтобы как следует ощутить на своем лице всю безопасность московских реагентов)))) (роспотребнадзор же не просто так утверждает, что они полностью безопасны)

    tov.Polkovnik avatar
    tov.Polkovnik25 января в 12:28
    1

    @scream13, а еще темища и нет освещения. И номер грязный)

  6. m00vie avatar
    m00vie25 января в 11:52
    2

    Артем, по вашим вредным советам:
    2. я как-то себе плохо представляю селфи ночью с лицом, паспортом и номером машины ночью где-то на обочине каширки, к примеру
    3. на ios приложение не может узнать imei аппарата, да и с какой радости я должен давать каршеринговому сервису такое количество иноформации о себе? у них и так есть паспорт и ВУ, и вы сами пишете, что они могут сливать инфу о пользователях, и тут же вы предлагаете дать им еще больше возможностей это делать.

  7. tov.Polkovnik avatar
    tov.Polkovnik25 января в 12:32
    1

    На мой взгляд, было бы достаточно СМС-ки на привязанный к профилю номер телефона с кодом для иммобилайзера/ввода в приложении.

    toshik25 января в 17:14
    0

    @tov.Polkovnik, в теории тот же вирус может его перехватывать. Так было на ранних Андройдах и Сбербанке.

    AgentS avatar
    AgentS26 января в 10:38
    0

    @toshik, теорик мамкин, закрыта уязвимость ещё в версии 4.4. Сейчас актуальный андроид 9.0, твои данные устарели на 5 лет.

    tov.Polkovnik avatar
    tov.Polkovnik27 января в 11:03
    0

    @toshik, вирус пользователю надо ещё умудриться закинуть, да и не актуальна эта проблема сегодня. И слишком много геморроя, чтобы покататься на казенной машине, не считая иных рисков.

    AgentS avatar
    AgentS26 января в 10:39
    0

    @tov.Polkovnik, +100500, всё гениальное просто

  8. iphoneriddick avatar
    iphoneriddick25 января в 15:39
    3

    Вот и “допрыгались” с инновациями а-ля каршеринг. Не учли, что людская натура по себе гниловатая в общем-то. А какая хорошая была идея, а жаль…

  9. devil2009 avatar
    devil200925 января в 15:41
    1

    ко всему этому еще лучше указывать только дополнительную банковскую карту и ставить на нее лимит 500 рублей

  10. messer avatar
    messer25 января в 18:03
    0

    какой сайт – такие и советы!

  11. FedorS avatar
    FedorS25 января в 18:59
    2

    Сейчас менты останавливать начали каршеринг. Просят показать ФИО в аккаунте, он должен совпадать с фио в правах.

    Denis avatar
    Denis25 января в 19:09
    2

    @FedorS, и что, кто-то гайцам показыаает свой телефон? И как они обосновывают своё требование?

    AgentS avatar
    AgentS26 января в 10:39
    0

    @FedorS, отлично, за свой счёт ещё и постоять с гайцами.

  12. bobrosoft avatar
    bobrosoft25 января в 22:44
    0

    > Большинство приложений не защищено от MITM-атак
    орнул

    Frespot avatar
    Frespot26 января в 16:42
    0

    @bobrosoft, а че орнул то? так и есть.

  13. Kazarjan avatar
    Kazarjan26 января в 17:06
    0

    Автор! Ну если ты указываешь статьи УК – пиши правильно.
    ч2, ст 166 угон группой лиц, а ты пишешь кража! Это два разных понятия в УК

  14. HighFlyer28 января в 12:12
    0

    YouDrive иногда просит сфотографироваться.

  15. rdc2 февраля в 17:10
    0

    очень вредный совет про привязывание IMEI.
    У меня с собой всегда есть айфон и айпад. Если айфон сел – айпад выручает. Так вот, я давно заметил, что многие приложения зачем-то “привязаны”. Залогинился на айпаде – вышибло с айфона, и наоборот. Редкие приложения этим не грешат…

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь