Мошенники получили доступ к панели управления одной из каршеринговых компаний и начали продавать его в Даркнете. Хакеры научились взламывать админку, через которую можно отслеживать, заводить и глушить автомобиль. Чем может быть опасна схема и стоит ли опасаться водителям — в материале «Ямал-Медиа».
Удаленный доступ
«Лаборатория Касперского» обнаружила в Даркнете объявление, в котором мошенники предлагают купить доступ к аккаунту администратора каршеринговой компании. Хакеры утверждают, что покупатель сможет удаленно управлять сразу несколькими машинами: открывать и закрывать их, заводить двигатель, отслеживать местоположение авто.
Ведущий консультант информационной безопасности компании R-Vision Евгений Грязнов пояснил газете «Известия», что в автомобилях каршеринга есть скрытый бортовой компьютер. Он постоянно передает компании-оператору информацию о движении машины: ее скорости, манере вождения человека за рулем, расходе топлива. Функциональность компьютера и получаемая им информация являются коммерческой тайной.
Оператор управляет автомобилем через админку. В случае внештатных ситуаций сервис позволяет техподдержке дистанционно открыть автомобиль, подать звуковой сигнал, завести машину или выключить двигатель. Хакерам удалось взломать админку и получить контроль над операторской панелью управления.
Фото: Kevin Ku/Unsplash
Чем опасна уловка хакеров
Грязнов предположил, что мошенники могут воспользоваться доступом к админке каршеринга, чтобы шантажировать пользователей и вымогать деньги.
Допустим, если хакер удаленно выключит двигатель, то может произойти аварийная ситуация на дороге с оживленным движением. Или же если выключат двигатель в лесу и заблокируют автомобиль, например, зимой, то человек может замерзнуть, пока ждет помощи.
Евгений Грязновведущий консультант информационной безопасности компании R-Vision
В таких ситуациях хакеры могут потребовать у водителя денег, а тот, скорее всего, предпочтет заплатить злоумышленникам.
Дистанционное управление позволяет навредить конкретному человеку: система показывает, кто именно находится за рулем. Это чревато еще и кражей персональных данных: ФИО, маршрутов, данных банковских карт.
Эксперт по кибербезопасности Олег Седов в разговоре с «Ямал-Медиа» обратил внимание на то, что мошенники получают доступ не к одному автомобилю, а к нескольким. Множество скомпрометированных аккаунтов позволяет спланировать акцию, которая затронет большое количество машин.
Фото: Mika Baumeister/Unsplash
Ценность развлечения невелика
Не все эксперты согласились, что мошенническая схема может быть потенциально опасна. Эксперт по кибербезопасности Алексей Курочкин сказал «Ямал-Медиа», что провернуть такой сценарий достаточно сложно. Как только об утечке узнает каршеринговая компания, она быстро пресечет действия злоумышленников.
«Ценность такого развлечения крайне мала, поэтому это все хулиганство и мелкие пакости. Не думаю, что водителям стоит опасаться. У оператора абсолютно точно нет возможности заглушить машину на скорости даже 10 километров в час. Машина может быть заблокирована только при выключенном зажигании. Создать опасность водителю, арендовавшему машину, оператор или лицо, проникшее в панель управления оператора, не имеет возможности», — заключил Курочкин.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».
