Как делают фейковые аккаунты в каршеринге

Вы знали, что на каршеринге можно кататься с чужого профиля? Нет? А это так. И очень многие пользуются этой возможностью.

Сейчас в интернете работают специальные сервисы, предоставляющие рабочие профили для желающих прокатиться на каршеринге. Они продают полностью активные аккаунты.

Особенно это актуально на фоне последней новости о YouDrive. Сервис теперь позволяет водителям делиться личными автомобилями для расширения автопарка каршеринга.

Последствия от «левых» аккаунтов могут быть крайне негативными как для владельцев профилей, так и для собственников автомобилей. Разбили тачку, а платить кто будет? И всё в этом духе.

Зачем вообще нужен «левый» аккаунт

Причины воспользоваться такой фичей могут быть самыми разными. Например, желание скрыть свой реальный возраст и сесть пораньше за руль.

Либо возможность утаить реальный стаж и начать пользоваться услугами сервиса раньше времени, желание кататься, как душе угодно (любые штрафы придут пользователю, указанному в профиле, а не реальному водителю).

Как это работает

По вашему аккаунту может кататься кто угодно

Со стороны мошенников:

Мошенники предварительно обманным путём выманивают фотографии паспортов и лиц для общей базы. А также данные аккаунтов в каршеринг-сервисах.

Либо пытаются получить доступ к профилям с помощью дистанционного взлома. Этого удаётся добиться сразу несколькими способами, судя по анализу Лаборатории Касперского:

1. Ненадежные коды в SMS. Многие каршеринговые приложения используют пару номер телефона/SMS-код для авторизации. Как правило, пароль в сообщении состоит из четырёх цифр, а большого ограничения на ввод нет.

Сервер продолжает отвечать даже после 1000 попыток перебора пароля

Следовательно, пароль к учетной записи можно подобрать с помощью простой утилиты для перебора.

2. Большинство приложений не защищено от MITM-атак. С их помощью можно получить содержимое авторизационной сессии. А из неё не проблема выкачать необходимые данные каршеринг-аккаунта.

Пример успешной атаки

3. Приложения подвержены краже данных с Android-устройств. Злоумышленники могут «заразить» смартфон под управлением этой операционки и перехватить входящее SMS с кодом для авторизации.

Либо перехватить само каршеринг-приложение. А поверх него поставить фейковое окно для ввода данных.

Собственно, всё. Дальше полученные данные аккаунтов идут на продажу на специальных сайтах, либо досках объявлений. Типа Авито.

Со стороны юзеров:

Пользователь открывает соответствующий сайт по продаже профилей, выбирает необходимый каршеринг-сервис, оплачивает и получает данные для авторизации.

Для оплаты поездки на арендованном авто нужно всего-лишь пополнить привязанную виртуальную банковскую карту. Либо привязать свою.

Какие бывают мошенники

Пример продажи аккаунта в Telegram

Все приведённые ниже типы людей продают аккаунты каршерингов в интернете. Помните, все они мошенники и не дают никаких гарантий на свои «услуги».

1. Кидалы.

Без них никуда. Желающих быстро и легко заработать много, потенциальных жертв ещё больше. Кидалы — это люди, создающие фейковые объявления о продаже аккаунтов.

Расценки одного из пользователей Авито

Они регистрируют кошельки QIWI или Яндекс.Денег и получают «скромную» плату за свои услуги. Разумеется, деньги уходят вникуда, данные никто вам не даст.

2. Обычные продавцы.

Это тип продавцов, которые создают аккаунты через друзей, родственников, соседей и так далее. В общем, через тех, с кем можно договориться.

Пример кражи данных аккаунта, о которой узнал владелец профиля

Правда, далеко не всегда владельцы паспорта и прав знают, куда уходят их данные. Подставить такой «друг», в случае чего, может сильно.

Так работает, например, этот сайт.

Важно: подобные сервисы продают аккаунты с уже имеющейся картой. И далеко не всегда она виртуальная. Банковская карта привязана к владельцу профиля, а значит после первой поездки ему сообщат о списании денег.

Это одноразовая поездка, которая может закончиться тюрьмой.

3. Сотрудники каршеринга.

Сотрудники каршеринга могут не продавать аккаунты, а сами ими пользоваться

Ну и куда же без самих сотрудников каршеринг-компаний.

Многие люди бросают свои аккаунты из-за ненужности, просто удалив приложение. Рабочие сервиса видят, что такой профиль не используется в течение длительного промежутка времени и выставляют его на продажу.

Покупая у них аккаунт, вы ставите себя под угрозу. Вычислить такого мошенника не составит большого труда. Профиль-то активный, а значит владельца оповещают по SMS или на почту.

Какие могут быть последствия

Самое маленькое и безобидное, что может случиться — вас кинут на деньги, профиль никто не предоставит.

А вот дальше только хуже. Садясь за руль арендованного на другого человека автомобиля, вы подпадаете под ч. 1 ст. 166 УК РФ. Это фактически угон автомобиля. За что положен реальный срок от одного года, либо штраф от 120 000 рублей.

Если в машине не только вы, то это классифицируется, как угон группой из нескольких лиц по ч. 2 ст. 166 УК РФ. И за это сажают на 7 лет.

А ещё вам могут приписать ст. 327 УК РФ. Она касается как самого продавца, так и покупателя: «за продажу и сознательную покупку подложных документов с корыстной целью».

За это могут посадить в тюрьму на срок до двух лет.

Как обезопасить свой аккаунт

Недостаточно просто удалить приложение со смартфона. В системе ваш профиль остаётся и дальше действует.

Чтобы полностью обезопасить себя от мошеннических действий, позвоните в сам каршеринг и потребуйте расторжения договора. Если необходимо, езжайте в офис компании.

Важно: профиль должен быть деактивирован сотрудниками каршеринг-сервиса. Только тогда вы можете спать спокойно.

Советы каршеринг-компаниям

1. Запретите пользователям загружать фотографии из галереи. Только реальное фото здесь и сейчас.

2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.

3. Привязывайте IMEI устройства к аккаунту. Для каждого нового требуйте фотографию с паспортом.

Так приложение будто чётко знать, что автомобилем хочет воспользоваться владелец профиля и никто другой. IMEI трудно подделать.

• До ←

  В России заблокируют смартфоны без регистрации IMEI

• После →

  Сбербанк построит свою станцию метро и подземный город