Как делают фейковые аккаунты в каршеринге
Вы знали, что на каршеринге можно кататься с чужого профиля? Нет? А это так. И очень многие пользуются этой возможностью.
Сейчас в интернете работают специальные сервисы, предоставляющие рабочие профили для желающих прокатиться на каршеринге. Они продают полностью активные аккаунты.
Особенно это актуально на фоне последней новости о YouDrive. Сервис теперь позволяет водителям делиться личными автомобилями для расширения автопарка каршеринга.
Последствия от «левых» аккаунтов могут быть крайне негативными как для владельцев профилей, так и для собственников автомобилей. Разбили тачку, а платить кто будет? И всё в этом духе.
Зачем вообще нужен «левый» аккаунт
Причины воспользоваться такой фичей могут быть самыми разными. Например, желание скрыть свой реальный возраст и сесть пораньше за руль.
Либо возможность утаить реальный стаж и начать пользоваться услугами сервиса раньше времени, желание кататься, как душе угодно (любые штрафы придут пользователю, указанному в профиле, а не реальному водителю).
Как это работает
По вашему аккаунту может кататься кто угодно
Со стороны мошенников:
Мошенники предварительно обманным путём выманивают фотографии паспортов и лиц для общей базы. А также данные аккаунтов в каршеринг-сервисах.
Либо пытаются получить доступ к профилям с помощью дистанционного взлома. Этого удаётся добиться сразу несколькими способами, судя по анализу Лаборатории Касперского:
1. Ненадежные коды в SMS. Многие каршеринговые приложения используют пару номер телефона/SMS-код для авторизации. Как правило, пароль в сообщении состоит из четырёх цифр, а большого ограничения на ввод нет.
Сервер продолжает отвечать даже после 1000 попыток перебора пароля
Следовательно, пароль к учетной записи можно подобрать с помощью простой утилиты для перебора.
2. Большинство приложений не защищено от MITM-атак. С их помощью можно получить содержимое авторизационной сессии. А из неё не проблема выкачать необходимые данные каршеринг-аккаунта.
Пример успешной атаки
3. Приложения подвержены краже данных с Android-устройств. Злоумышленники могут «заразить» смартфон под управлением этой операционки и перехватить входящее SMS с кодом для авторизации.
Либо перехватить само каршеринг-приложение. А поверх него поставить фейковое окно для ввода данных.
Собственно, всё. Дальше полученные данные аккаунтов идут на продажу на специальных сайтах, либо досках объявлений. Типа Авито.
Со стороны юзеров:
Пользователь открывает соответствующий сайт по продаже профилей, выбирает необходимый каршеринг-сервис, оплачивает и получает данные для авторизации.
Для оплаты поездки на арендованном авто нужно всего-лишь пополнить привязанную виртуальную банковскую карту. Либо привязать свою.
Какие бывают мошенники
Пример продажи аккаунта в Telegram
Все приведённые ниже типы людей продают аккаунты каршерингов в интернете. Помните, все они мошенники и не дают никаких гарантий на свои «услуги».
1. Кидалы.
Без них никуда. Желающих быстро и легко заработать много, потенциальных жертв ещё больше. Кидалы — это люди, создающие фейковые объявления о продаже аккаунтов.
Расценки одного из пользователей Авито
Они регистрируют кошельки QIWI или Яндекс.Денег и получают «скромную» плату за свои услуги. Разумеется, деньги уходят вникуда, данные никто вам не даст.
2. Обычные продавцы.
Это тип продавцов, которые создают аккаунты через друзей, родственников, соседей и так далее. В общем, через тех, с кем можно договориться.
Пример кражи данных аккаунта, о которой узнал владелец профиля
Правда, далеко не всегда владельцы паспорта и прав знают, куда уходят их данные. Подставить такой «друг», в случае чего, может сильно.
Так работает, например, этот сайт.
Важно: подобные сервисы продают аккаунты с уже имеющейся картой. И далеко не всегда она виртуальная. Банковская карта привязана к владельцу профиля, а значит после первой поездки ему сообщат о списании денег.
Это одноразовая поездка, которая может закончиться тюрьмой.
3. Сотрудники каршеринга.
Сотрудники каршеринга могут не продавать аккаунты, а сами ими пользоваться
Ну и куда же без самих сотрудников каршеринг-компаний.
Многие люди бросают свои аккаунты из-за ненужности, просто удалив приложение. Рабочие сервиса видят, что такой профиль не используется в течение длительного промежутка времени и выставляют его на продажу.
Покупая у них аккаунт, вы ставите себя под угрозу. Вычислить такого мошенника не составит большого труда. Профиль-то активный, а значит владельца оповещают по SMS или на почту.
Какие могут быть последствия
Самое маленькое и безобидное, что может случиться — вас кинут на деньги, профиль никто не предоставит.
А вот дальше только хуже. Садясь за руль арендованного на другого человека автомобиля, вы подпадаете под ч. 1 ст. 166 УК РФ. Это фактически угон автомобиля. За что положен реальный срок от одного года, либо штраф от 120 000 рублей.
Если в машине не только вы, то это классифицируется, как кража группой из нескольких лиц по ч. 2 ст. 166 УК РФ. И за это сажают на 7 лет.
А ещё вам могут приписать ст. 327 УК РФ. Она касается как самого продавца, так и покупателя: «за продажу и сознательную покупку подложных документов с корыстной целью».
За это могут посадить в тюрьму на срок до двух лет.
Как обезопасить свой аккаунт
Недостаточно просто удалить приложение со смартфона. В системе ваш профиль остаётся и дальше действует.
Чтобы полностью обезопасить себя от мошеннических действий, позвоните в сам каршеринг и потребуйте расторжения договора. Если необходимо, езжайте в офис компании.
Важно: профиль должен быть деактивирован сотрудниками каршеринг-сервиса. Только тогда вы можете спать спокойно.
Советы каршеринг-компаниям
1. Запретите пользователям загружать фотографии из галереи. Только реальное фото здесь и сейчас.
2. Запрашивайте фотографию водителя прямо перед использованием авто. На фото должны быть чётко видны лицо, паспорт и номер автомобиля.
3. Привязывайте IMEI устройства к аккаунту. Для каждого нового требуйте фотографию с паспортом.
Так приложение будто чётко знать, что автомобилем хочет воспользоваться владелец профиля и никто другой. IMEI нельзя подделать.
