Мошенники прокатились за счет клиента сервиса «Яндекс. Драйв»
Какими методами пользуются злоумышленники
Клиента каршеринга взломали и прокатились за его счет. Пользователь сервиса «Яндекс. Драйв» уверяет, что ему пришлось заплатить за поездку, которую он не совершал. Водитель, который управлял арендованной машиной от его имени, еще и нарушал правила дорожного движения. В «Яндекс. Драйве» возвращать деньги отказываются. Как так вышло? Подробности — у Николая Долгополова и Яны Пашаевой.
Москвич Владимир Соловьев спокойно ехал на своей машине 1 февраля, когда внезапно для себя узнал, что он в этот момент параллельно управляет Mercedes компании «Яндекс. Драйв»: ему позвонили из сервиса, и сказали, что переживают, так как скорость его движения — 150 км/ч. Как рассказал господин Соловьев «Коммерсантъ FM», его аккаунт действительно оказался активен: «Я за рулем был, так что попросил жену открыть приложение, и действительно там значилась аренда Mercedes. Я перезвонил на телефон поддержки и попросил заблокировать аккаунт. К сожалению, официальный ответ я получил только ночью на 11 февраля.
В нем было написано, что проведена проверка, и со стороны сервиса все в порядке, там предполагают, что я передал аккаунт третьему лицу.
Мне в итоге предложили обратиться в правоохранительные органы».
Автомобилист отметил, что после его обращения поездка еще какое-то время продолжалась. В конце с его карты автоматически списали около 500 руб. Но, вероятно, это не окончательная сумма. Теперь он опасается штрафа за превышение скорости. В «Яндекс. Драйве» отказались от комментариев.
В интернете много объявлений о продаже аккаунтов в сервисах аренды автомобилей. Цены начинаются от 1 тыс. руб. За эти деньги обещают прислать номер телефона и пароль для входа в сервис. «Штрафы можно не платить, вас никто не вычислит», — говорится в рекламе.
Откуда у злоумышленников учетные записи? Есть две версии: их воруют у честных клиентов, и аккаунты создают путем обмана сервисов при помощи поддельных документов. Впрочем, журналисты выяснили, что за большинством таких объявлений стоят мошенники, которые торгуют недействительными учетными записями.
Пресс-секретарь сервиса каршеринга «Делимобиль» Алена Балакирева рассказала, что и их компания сталкивалась со взломами аккаунтов, но с тех пор они усилили меры безопасности: «Для того чтобы начать аренду, вам необходимо ввести верификационный код, который приходит на зарегистрированный номер телефона. Если случается так, что машина движется, и звонит пользователь с информацией, что ему пришла соответствующая СМС-ка, но он в данный момент не находится за рулем, то вычислить такой автомобиль и отправить туда наряд и полиции, и службы безопасности — дело буквально двух-трех минут. На заре каршеринга были истории, когда люди забрасывали свой аккаунт или кому-то его передавали, но в последние полгода таких жалоб не поступает».
В «Делимобиле» при этом признали, что не могут застраховаться от случаев, когда злоумышленники получают доступ к телефону клиента каршеринга. Это могло произойти в ситуации с пользователем «Яндекс. Драйва», допустил глава представительства компании Check Point Software Technologies в России и СНГ Василий Дягилев: «Мошенники имели возможность перехватить сообщение с помощью технических средств. Это может быть какое-то программное обеспечение, которое было установлено на его телефоне. Еще один сценарий заключается в том, что хакеры иногда в сговоре со злоумышленниками могут получать доступ к так называемым клонам SIM-карты. Так что те пароли, которые приходят по номеру телефона, получает не только его владелец, но и другой человек, который имеет клон SIM-карты».
Если неизвестный вдруг получил контроль над чужим телефоном, есть риск, что он не только прокатится на каршеринге за счет владельца, но и потратит деньги в других приложениях. Поэтому специалисты советуют поменять пароли, переустановить программы и отвязать свой телефон во всех сервисах с двухфакторной аутентификацией.
Пострадавший пользователь «Яндекс. Драйва» рассказал «Коммерсантъ FM», что собирается обратиться в полицию.