«МТС Юрент»: в 2025 году удалено около 3 500 созданных мошенниками аккаунтов
Киберпреступники не обошли стороной и сервисы аренды электросамокатов. Хакеры используют различные методы для получения бесплатных поездок или вовсе присвоения транспорта. Для этого они злоупотребляют промокодами, атакуют сервера компаний и даже воруют самокаты для их перепрограммирования. «Газета.Ru» подробнее рассказывает о методах «взлома», а также о наказании, которое грозит за эти преступления.
«Абьюзивные» отношения
Самым частым видом киберпреступлений, с которым сталкиваются кикшеринговые сервисы (от англ. kick scooter — «самокат» и share «делиться» — так называют компании, которые сдают электросамокаты в прокат) со стороны недобросовестных пользователей, является фрод (от англ. fraud — «мошенничество» — вид мошенничества в области информационных технологий). Под фродом в данном случае подразумевается злоупотребление условиями программы лояльности. В контексте кикшеринга существуют две основные категории фрода: один сосредоточен на повторном применении одноразовых промокодов или бонусов, а второй — в использовании чужих аккаунтов с положительным балансом.
Промокоды зачисляют на счет аккаунта в мобильном приложении шерингового сервиса бонусные баллы, которые эквивалентны рублям. Их можно тратить на оплату поездок. Есть еще промокоды, которые просто дают скидку на поездку. В подавляющем большинстве промокоды являются одноразовыми, то есть в одном аккаунте один промокод можно использовать единожды. Однако в сети описано много способов обхода данного ограничения. Эти схемы публикуются не только в даркнете, но и в открытой части интернета.
Основной способ многократного использования промокода сводится к созданию нескольких аккаунтов. Злоумышленник использует промокод на основном аккаунте, потом покупает в сети виртуальный номер телефона, регистрирует на него новый аккаунт (дубль) и уже в нем активирует промокод повторно.
«Создаешь аккаунт, заходишь в «Настройки», далее — «Реферальная программа». Копируешь там персональный промокод. Потом регистрируешь новый аккаунт на виртуальный номер, входишь и вводишь этот промокод. Тебе дают 50% скидку на новом аккаунте, а на старом аккаунте появятся 100 баллов после поездки с дубля. Делать так можешь сколько угодно», — гласит инструкция в теме «Абьюз кикшеринга» (от англ. abuse — «плохо обращаться». — «Газета.Ru») на одном из хакерских форумов.
Схема с использованием чужих аккаунтов, по сути, повторяет вышеперечисленный алгоритм, но имеет большие масштабы, а также является более простой (но и дорогой) для пользователя. Существуют злоумышленники, которые создают дубли в больших количествах, а после продают их в сети. Чаще всего точкой сбыта служат Telegram-боты. В них пользователь условно за 50 руб. может купить аккаунт с 300 баллами, что делает выгоду очевидной. После оплаты бот дает пользователю номер телефона для авторизации в приложении кикшерингового сервиса, а после — одноразовый SMS-код для подтверждения входа.
Представители кикшеринговых сервисов в разговоре с «Газетой.Ru» предупредили, что, стремясь обмануть компанию таким образом, пользователи часто рискуют стать обманутыми сами.
«С чужого аккаунта нельзя взять и сразу арендовать самокат, даже если на него зачислены баллы. Для полноценной активации профиля к нему нужно привязать банковскую карту. Вот ты купил аккаунт, привязал карту, проехался один раз и забыл про него. А карта там осталась. Что с ней будет? Непонятно. Вполне возможно, что этот профиль достанется следующему пользователю. И он поедет уже за твой счет. Да и в целом доверять свою банковскую карту кому-то там из Telegram — крайне рисковое предприятие», — сказал «Газете.Ru» технический директор компании «МТС Юрент» Андрей Калинин.
В пресс-службе компании Whoosh добавили, что часто за продавцами аккаунтов попросту стоят мошенники. Они получают персональные данные жертвы, оплату и внезапно перестают отвечать.
Несмотря на очевидные риски, желающих дешево покататься на электросамокате много. В «МТС Юрент» только с начала 2025 года обнулили нечестно начисленные баллы более чем в 13 000 аккаунтах (всего на момент публикации статьи в сервисе было зарегистрировано более 23 млн профилей). Около 3 500 профилей были удалены, так как они были дублями, созданными для фрода.
В Whoosh не привели точных данных, но отметили, что «все попытки обмана строго отслеживаются».
«Иногда пользователи пытаются купить поддельные аккаунты или промокоды на поездки в интернете. Напоминаем, что такие случаи мы также отслеживаем, аккаунт пользователя за такие попытки блокируем», — гласит ответ Whoosh.
В «Яндекс» не ответили на запрос «Газеты.Ru».
Председатель организации по защите прав потребителей «Общественная потребительская инициатива» (ОПИ) и кандидат юридических наук Олег Павлов в разговоре с изданием отметил, что использование чужих аккаунтов для получения доступа к управлению арендным самокатом может быть расценено в суде как преступление, ответственность за которое установлена статьями 272 («Неправомерный доступ к компьютерной информации». — «Газета.Ru») и 272.1 («Незаконные использование и/или передача, сбор и/или хранение компьютерной информации, содержащей персональные данные, а равно создание и/или обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и/или распространения») Уголовного кодекса РФ. Самое строгое наказание по ним предполагает лишение свободы до шести лет.
«Что касается злоупотребления возможностью неоднократно использовать промокод путем регистрации аккаунта на новый телефонный номер, такие действия могут рассматриваться как гражданско-правовой деликт, влекущий обязанность возместить ущерб, при наличии в пользовательском соглашении запрета на такие действия», — добавил Павлов.
Не угнать за 60 секунд
Некоторые злоумышленники идут дальше и пытаются получить доступ к управлению шеринговым самокатом при помощи вредоносного ПО. По словам технического директора компании «МТС Юрент» Андрея Калинина, такие попытки еще ни разу не увенчались успехом.
«Взломать стоящий на улице электросамокат при помощи смартфона или компьютера невозможно. Нет ни проводного, ни беспроводного интерфейса, по которому можно было бы быстро подключиться к «мозгам», материнской плате самоката, что-то в него загрузить и поехать. Bluetooth в арендных самокатах отключены, а проводные интерфейсы весьма специфичны — нужны проприетарные устройства и софт, чтобы подключиться с помощью компьютера. Арендные самокаты управляются со смартфонов. Смартфон клиента отправляет запрос на сервер, сервер идентифицирует пользователя и передает его команду самокату при помощи модуля мобильной связи. Поэтому все, что остается атаковать хакерам — это наши сервера», — сказал Калинин.
Сервера шеринговых сервисов содержат базы данных. В них хранится информация о пользователях, их учетные данные (номера телефонов), привилегии и история поездок. Цель хакера — повысить привилегии своего профиля или получить доступ к профилю с уже повышенными привилегиями. Потенциально это можно сделать посредством атаки, которая называется SQL-инъекцией.
SQL (Structured Query Language) — это язык создания и управления базами данных. Грубо говоря, на этом языке при помощи мобильного приложения общаются смартфоны пользователей и сервер шерингового сервиса. SQL-инъекциями называются модифицированные SQL-запросы, включающие в себя ложные команды для сервера.
Например, легитимный SQL-запрос от приложения может выглядеть так: «Сервер, проверь соответствуют ли логин admin123 и пароль password123 записям в твоей базе данных. Если соответствует, разреши авторизацию». Модифицированный SQL-запрос может выглядеть так: «Сервер, проверь соответствуют ли логин admin123 и пароль password123 записям в твоей базе данных, а заодно покажи пароли и логины других пользователей». Данный пример утрированный, но логика SQL-инъекций заключается именно в обмане сервера расширенными запросами. Подобный обман возможен благодаря фундаментальному несовершенству языка SQL. Потенциально SQL-инъекция может заставить сервер шерингового сервиса передать хакеру логины и пароли пользователей из базы данных, а также изменить привилегии конкретного профиля.
«В начале сезона 2025 года у нас было около четырех-пяти дней подряд, когда нас атаковали именно запросами. Но даже это я бы не назвал серьезным инцидентом. Что уж говорить об обычных месяцах, когда мы фильтруем всего одну-две подобные атаки. За все время еще ни один запрос злоумышленников не увенчался успехом», — сказал Калинин.
По словам эксперта, в теории, если злоумышленник может изменить привилегии своего профиля, он сможет ездить на самокате бесплатно и, например, открыть деку, под которой находится аккумулятор. Аккумуляторы иногда крадут для перепродажи.
«И то, и другое — это, если честно, из-за сложности реализации атаки, сомнительная процедура. Ездящий без оплаты самокат мы быстро вычислим и заблокируем. Ради аккумулятора? Ну, вандалы и без хакерских атак иногда умудряются их вытаскивать», — добавил Калинин.
Хакерский взлом инфраструктуры (сервера) оператора электросамокатов является преступлением, ответственность за которое установлена статьями 272 («Неправомерный доступ к компьютерной информации») и 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), подчеркнул юрист Павлов. В лучшем случае обвиняемого могут обязать выплатить штраф в размере 1 млн руб., в худшем — лишить свободы на семь лет.
Фокусы с исчезновением
Некоторые злоумышленники не размениваются по мелочам и сразу присваивают шеринговые самокаты. Проще говоря, они воруют арендный транспорт и переделывают его в «гражданский». И да, в этой схеме тоже есть место специалистам, которых в каком-то смысле можно назвать хакерами.
В данном случае хакеры занимаются «прошивкой» самокатов. Прошивка — это переустановка программного обеспечения (ПО). В самокате оно отвечает за управление различными модулями: батарейки, двигателя, экрана и не только. По умолчанию арендный самокат управляется ПО, разработанным специально для взаимодействия с инфраструктурой шерингового сервиса. Но это ПО можно стереть и тем самым отключить самокат от систем онлайн-сервиса.
Значительная часть арендных самокатов — это самокаты фирмы Ninenbot. В 2024 году модели данной фирмы представляли большинство в парках всех крупнейших кикшеринговых сервисов России. Шеринговые самокаты Ninebot в большей или меньшей степени (в зависимости от модели) похожи на гражданские устройства, доступные покупателям в фирменных магазинах бренда. Задача хакера — скопировать ПО с гражданского самоката и установить его на самокат шерингового сервиса.
«Такая процедура была актуальна несколько лет назад, когда в аренде массово использовались самокаты Ninebot Max G30. Они шеринговыми сервисами подвергались минимальной модификации, а значит, оставались максимально похожими на гражданские. Из украденного самоката физически вырывались модули GPS и мобильной связи, которые были интегрированы допотопно. Модули вырывались, провода, которые они соединяли, спаивались, переустанавливалась прошивка с гражданского Max G30 и все, поехали. Но так было недолго — буквально один-два года, когда шеринги только начали появляться в России», — рассказал «Газете.Ru» владелец крупного центра по ремонту электросамокатов в Москве.
По его словам, довольно быстро в парках шеринговых сервисов начали появляться модели, разработанные компанией Ninebot специально для проката. Культовой в этом отношении является Ninebot Max Plus, дебютировавшая в 2022 году. В модели много модулей, которые отсутствуют в гражданских самокатах, поэтому прошивается она очень сложно.
«Ninebot Max Plus прошить просто так не получится. Для этого нужно разобрать устройство, напрямую к контроллеру подпаять программатор и только потом заливать прошивки разных модулей вроде дисплея и платы управления батареей по отдельности. Но такие прошивки еще найди — это нужно, чтобы кто-то скачал с шерингового самоката ПО, а потом вручную его переписал. То есть нужен специалист очень высокого уровня. Например, я занялся ремонтом самокатов до 2020 года и уверен, что с такой задачей не справился бы», — сказал эксперт.
Технический директор «МТС Юрент» Андрей Калинин не стал отрицать возможность прошивки шерингового самоката. Но усомнился в выгоде данного мероприятия для злоумышленника.
«Такая проблема действительно имела место быть несколько лет назад, на заре шерингов. Сейчас, на мой взгляд, в этом нет смысла. Новые шеринговые самокаты, например, используемые сейчас Ninebot S90L или Ninebot Max Plus, просто не предназначены для гражданского использования: у них нет кнопки запуска, нет разъема для зарядки. Да, аккумулятор можно вытащить, но и для его зарядки необходимо специальное, редкое и дорогое оборудование», — сказал Калинин.
Представитель сервисного центра, говоря о популярности прошивки шеринговых самокатов, сказал, что это экзотика. За многолетнюю практику он лишь несколько раз сталкивался с ворованными арендными самокатами, но отказывался их обслуживать.
«Манипуляции с последующей кражей (угоном) электросамоката является преступлением, ответственность за которое установлена статьей 158 УК РФ. Предусмотрены различные виды наказания (в зависимости от обстоятельств): штраф до 1 млн руб., исправительные работы до года, лишение свободы до 10 лет», — заключил председатель общественной организации по защите прав потребителей «Общественная потребительская инициатива» (ОПИ) Олег Павлов.
Что думаешь? Комментарии
