В 2018 году специалисты «Лаборатории Касперского» проверили уровень безопасности 13 приложений для каршеринга из разных стран мира, и для каждого обнаружили потенциальные киберугрозы.
- Отсутствовала защита от атак типа «человек посередине» – пользователь считает, что он подключен к настоящему сервису. Однако трафик перенаправляется через сайт злоумышленников, позволяя им собирать любые личные данные аккаунта.
- Отсутствовала защита от обратной разработки – злоумышленники могут модифицировать приложение и выложить его копию на любую площадку. В результате учетные данные могут быть украдены.
- Отсутствовали методы, которые позволяют узнать, что устройство предоставило права суперпользователя. В результате злоумышленник может получить безграничные возможности, в том числе доступ к учетным данным.
- Отсутствовала защита от наложения приложений, что позволяет вредоносным приложениям отображать фишинговые окна и красть учетные данные пользователя.
- Часть приложений требовала от пользователя ввести ненадежный пароль. То есть злоумышленники смогут легко его подобрать.
- Только один сервис каршеринга уведомлял пользователя об успешной авторизации на новом мобильном устройстве. То есть данные уже утекли к злоумышленникам, и пользователь могу принять решение о дальнейшей судьбе аккаунта, объясняет Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского».
- В большинстве случаев аутентификация клиента каршеринга происходит при помощи номера телефона и четырехзначного PIN-кода. Это всего 10 тыс. комбинаций, а номера телефонов злоумышленники могут найти в соцсетях. Если у сервиса нет защиты от подбора PIN-кода, то устройство жертвы вообще не нужно для успешной атаки.
Все эти технологичные риски ведут к росту расходов сервиса. Приходится тратиться на их устранение или терять доход от действий злоумышленника, который может кататься за чужой счет, разобрать автомобиль на запчасти, отслеживать перемещения конкретного водителя, продавать клиентские аккаунты на черном рынке.
Надежды на перспективы
Крупные каршеринговые компании высоко ценятся инвесторами, но чистой прибыли не дают – растут выручка и убытки. Бизнес проходит стадию становления, но уже понятно, что ИТ-решения предстоит совершенствовать, особенно контрольные функции. Не зря на рынок каршеринга выходят лидеры ИТ-отрасли: «Яндекс» и Mail.ru.
Но аналитики полны оптимизма. В начале 2019 года ВТБ выяснил, что в 2018 году клиенты банка воспользовались услугой поминутной аренды автомобилей более 1,5 млн раз, потратив свыше 360 млн рублей. Это в шесть раз превосходит результаты 2017 года. И спрос продолжает расти.
Автор: Алексей Охлопков
Источник: https://mcs.mail.ru/blog/kak-tekhnologii-prinesli-karsheringu-populyarnost-i-riski/