Вы знали, что на каршеринге можно кататься с чужого профиля? Нет? А это так. И очень многие пользуются этой возможностью.
Сейчас в интернете работают специальные сервисы, предоставляющие рабочие профили для желающих прокатиться на каршеринге. Они продают полностью активные аккаунты.
Особенно это актуально на фоне последней новости о YouDrive. Сервис теперь позволяет водителям делиться личными автомобилями для расширения автопарка каршеринга.
Последствия от «левых» аккаунтов могут быть крайне негативными как для владельцев профилей, так и для собственников автомобилей. Разбили тачку, а платить кто будет? И всё в этом духе.
Зачем вообще нужен «левый» аккаунт
Причины воспользоваться такой фичей могут быть самыми разными. Например, желание скрыть свой реальный возраст и сесть пораньше за руль.
Либо возможность утаить реальный стаж и начать пользоваться услугами сервиса раньше времени, желание кататься, как душе угодно (любые штрафы придут пользователю, указанному в профиле, а не реальному водителю).
Как это работает
По вашему аккаунту может кататься кто угодно
Со стороны мошенников:
Мошенники предварительно обманным путём выманивают фотографии паспортов и лиц для общей базы. А также данные аккаунтов в каршеринг-сервисах.
Либо пытаются получить доступ к профилям с помощью дистанционного взлома. Этого удаётся добиться сразу несколькими способами, судя по анализу Лаборатории Касперского:
1. Ненадежные коды в SMS. Многие каршеринговые приложения используют пару номер телефона/SMS-код для авторизации. Как правило, пароль в сообщении состоит из четырёх цифр, а большого ограничения на ввод нет.
Сервер продолжает отвечать даже после 1000 попыток перебора пароля
Следовательно, пароль к учетной записи можно подобрать с помощью простой утилиты для перебора.
2. Большинство приложений не защищено от MITM-атак. С их помощью можно получить содержимое авторизационной сессии. А из неё не проблема выкачать необходимые данные каршеринг-аккаунта.
Пример успешной атаки
3. Приложения подвержены краже данных с Android-устройств. Злоумышленники могут «заразить» смартфон под управлением этой операционки и перехватить входящее SMS с кодом для авторизации.
Либо перехватить само каршеринг-приложение. А поверх него поставить фейковое окно для ввода данных.
Собственно, всё. Дальше полученные данные аккаунтов идут на продажу на специальных сайтах, либо досках объявлений. Типа Авито.
Со стороны юзеров:
Пользователь открывает соответствующий сайт по продаже профилей, выбирает необходимый каршеринг-сервис, оплачивает и получает данные для авторизации.
Для оплаты поездки на арендованном авто нужно всего-лишь пополнить привязанную виртуальную банковскую карту. Либо привязать свою.
Какие бывают мошенники
Пример продажи аккаунта в Telegram
Все приведённые ниже типы людей продают аккаунты каршерингов в интернете. Помните, все они мошенники и не дают никаких гарантий на свои «услуги».
1. Кидалы.
Без них никуда. Желающих быстро и легко заработать много, потенциальных жертв ещё больше. Кидалы — это люди, создающие фейковые объявления о продаже аккаунтов.
Расценки одного из пользователей Авито
Они регистрируют кошельки QIWI или Яндекс.Денег и получают «скромную» плату за свои услуги. Разумеется, деньги уходят вникуда, данные никто вам не даст.
2. Обычные продавцы.
Это тип продавцов, которые создают аккаунты через друзей, родственников, соседей и так далее. В общем, через тех, с кем можно договориться.
Пример кражи данных аккаунта, о которой узнал владелец профиля
Правда, далеко не всегда владельцы паспорта и прав знают, куда уходят их данные. Подставить такой «друг», в случае чего, может сильно.
Так работает, например, этот сайт.
Важно: подобные сервисы продают аккаунты с уже имеющейся картой. И далеко не всегда она виртуальная. Банковская карта привязана к владельцу профиля, а значит после первой поездки ему сообщат о списании денег.
Это одноразовая поездка, которая может закончиться тюрьмой.
3. Сотрудники каршеринга.
Сотрудники каршеринга могут не продавать аккаунты, а сами ими пользоваться
Ну и куда же без самих сотрудников каршеринг-компаний.
Многие люди бросают свои аккаунты из-за ненужности, просто удалив приложение. Рабочие сервиса видят, что такой профиль не используется в течение длительного промежутка времени и выставляют его на продажу.
Покупая у них аккаунт, вы ставите себя под угрозу. Вычислить такого мошенника не составит большого труда. Профиль-то активный, а значит владельца оповещают по SMS или на почту.
Какие могут быть последствия
Самое маленькое и безобидное, что может случиться — вас кинут на деньги, профиль никто не предоставит.
А вот дальше только хуже. Садясь за руль арендованного на другого человека автомобиля, вы подпадаете под ч. 1 ст. 166 УК РФ. Это фактически угон автомобиля. За что положен реальный срок от одного года, либо штраф от 120 000 рублей.
Если в машине не только вы, то это классифицируется, как угон группой из нескольких лиц по ч. 2 ст. 166 УК РФ. И за это сажают на 7 лет.
А ещё вам могут приписать ст. 327 УК РФ. Она касается как самого продавца, так и покупателя: «за продажу и сознательную покупку подложных документов с корыстной целью».
За это могут посадить в тюрьму на срок до двух лет.
Как обезопасить свой аккаунт
Недостаточно просто удалить приложение со смартфона. В системе ваш профиль остаётся и дальше действует.
Чтобы полностью обезопасить себя от мошеннических действий, позвоните в сам каршеринг и потребуйте расторжения договора. Если необходимо, езжайте в офис компании.
Важно: профиль должен быть деактивирован сотрудниками каршеринг-сервиса. Только тогда вы можете спать спокойно.
Советы каршеринг-компаниям
1. Запретите пользователям загружать фотографии из галереи. Только реальное фото здесь и сейчас.
2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.
3. Привязывайте IMEI устройства к аккаунту. Для каждого нового требуйте фотографию с паспортом.
Так приложение будто чётко знать, что автомобилем хочет воспользоваться владелец профиля и никто другой. IMEI трудно подделать.
(46 голосов, общий рейтинг: 3.67 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
30 комментариев
Форум →IMEI нельзя подделать ?
Ору)))0
@Alexander, :) а ну как угадай какой был на том телефоне где регистрировали :)
@Alexander, Чтобы его подделать, его надо знать – попробуй подбери.
@FiLunder_7, это уже другой вопрос
там написано – нельзя подделать, и это не так right?
Найти на какой и прочие трудности к этому не относятся.
“Привязывайте IMEI устройства к аккаунту.” –
IMEI телефона с iOS нельзя получить без использования Private API. А с использованием – приложение не пропустят в App Store
@Andrew, наверное можно использовать identifierForVendor для iOS.
Советы для каршеринга в конце статьи- прямой сбор данных. В комментариях на этот счет обычно пишут “никакой личной жизни, нафиг не дам никому свои документы, да зкчем им мой паспорт?” И подобное
Советы фигня:
1. Фоткаем фотку
2. Кто это будет проверять? и как? Искусственный интеллект? Сомнительно..
3. Технически не реализуемо в iOS
@Pahanius,
1. Не катит – данные и фотографии при регистрации проверяются человеком. надо очень круто изголиться, чтобы в фотографии фотографии не распознали обман.
2. УЖЕ какой-то каршеринг (не помню, какой) просит перед арендой сделать селфач на фоне машины. Проверять это может и движок распознавания лиц, это не рокет сайнс, и оператор после аренды авто, и в случае расхождения блочить аккаунт навсегда.
@Dave, А я, как законный приобретатель услуги, если у меня украли аккаунт , буду делать по офисам и доказывать что украли?
У меня Я.Драйв списывал деньги неделю! И на письма не отвечали. Подал в суд. Выиграл.
“2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.”
Так и представляю себе картину:
20 градусов мороза, идет снег, дует ветер. Вы задубевшими руками пытаетесь сделать селфи с паспортом на фоне номера автомобиля, а приложение раз за разом просит вас перефотографироваться.
@scream13, еще желательно ночью и на оживленной дороге, чтобы как следует ощутить на своем лице всю безопасность московских реагентов)))) (роспотребнадзор же не просто так утверждает, что они полностью безопасны)
@scream13, а еще темища и нет освещения. И номер грязный)
Артем, по вашим вредным советам:
2. я как-то себе плохо представляю селфи ночью с лицом, паспортом и номером машины ночью где-то на обочине каширки, к примеру
3. на ios приложение не может узнать imei аппарата, да и с какой радости я должен давать каршеринговому сервису такое количество иноформации о себе? у них и так есть паспорт и ВУ, и вы сами пишете, что они могут сливать инфу о пользователях, и тут же вы предлагаете дать им еще больше возможностей это делать.
На мой взгляд, было бы достаточно СМС-ки на привязанный к профилю номер телефона с кодом для иммобилайзера/ввода в приложении.
@tov.Polkovnik, в теории тот же вирус может его перехватывать. Так было на ранних Андройдах и Сбербанке.
@toshik, теорик мамкин, закрыта уязвимость ещё в версии 4.4. Сейчас актуальный андроид 9.0, твои данные устарели на 5 лет.
@toshik, вирус пользователю надо ещё умудриться закинуть, да и не актуальна эта проблема сегодня. И слишком много геморроя, чтобы покататься на казенной машине, не считая иных рисков.
@tov.Polkovnik, +100500, всё гениальное просто
Вот и “допрыгались” с инновациями а-ля каршеринг. Не учли, что людская натура по себе гниловатая в общем-то. А какая хорошая была идея, а жаль…
ко всему этому еще лучше указывать только дополнительную банковскую карту и ставить на нее лимит 500 рублей
какой сайт – такие и советы!
Сейчас менты останавливать начали каршеринг. Просят показать ФИО в аккаунте, он должен совпадать с фио в правах.
@FedorS, и что, кто-то гайцам показыаает свой телефон? И как они обосновывают своё требование?
@FedorS, отлично, за свой счёт ещё и постоять с гайцами.
> Большинство приложений не защищено от MITM-атак
орнул
@bobrosoft, а че орнул то? так и есть.
Автор! Ну если ты указываешь статьи УК – пиши правильно.
ч2, ст 166 угон группой лиц, а ты пишешь кража! Это два разных понятия в УК
YouDrive иногда просит сфотографироваться.
очень вредный совет про привязывание IMEI.
У меня с собой всегда есть айфон и айпад. Если айфон сел – айпад выручает. Так вот, я давно заметил, что многие приложения зачем-то “привязаны”. Залогинился на айпаде – вышибло с айфона, и наоборот. Редкие приложения этим не грешат…
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему снимки из iMessage сами сохраняются в приложение Фото на iPhone
Как добавить в письмо на iPhone несколько фотографий?
Как настроить вейп-мод DNA с компьютера Mac?
Перестал работать Touch ID после обновления
Как хранить раздельные контакты, заметки и календари на разных iPhone с одной учёткой Apple ID
Как в iOS 16 закреплять нужные вкладки Safari
Что делать с ошибкой «Выключена вспышка»?
Как вернуть оригиналы фото из iCloud