У кого-то уводят по 300-400 рублей, а у кого-то и по девять тысяч за ночь. Эксперты примерно понимают, как это делается, но не все осознают, для чего
Business FM уже рассказывала о волне жалоб россиян, которые сообщали о том, что сервис «Яндекс.Такси» списывал у них деньги за поездки, которых они не совершали. Константин из Москвы умудрился за одну ночь дважды выехать из подмосковного села в неизвестном направлении и заплатить за это по три тысячи каждый раз, да еще и в благодарность оставить чаевых по 1,5 тысячи за каждую поездку. Всего Константин потратил на такси в ту ночь 9074 рубля, притом что физически он никуда не ездил.
«Я сразу же звоню в «Яндекс», там говорят, что не видят этих транзакций, то есть они ничего не списывали, на их счет ничего не поступало. Я звоню в Сбербанк, блокирую карту. Они говорят: «Да, мы видим, что это «Яндекс». Я догадываюсь, что нужно обращаться в полицию, пишу заявление. Все это время «Яндекс» никак не реагирует. Я писал, звонил, в ответ — какие-то дежурные фразы: «Мы обязательно разберемся, проводим внутреннюю проверку по факту».
Примерно так же в «Яндексе» ответили и Business FM. Но надо признать: через две недели компания вернула Константину деньги. А пока он разбирался в вопросе, Читайте также:«Яндекс» может стать «интернет-шарашкой». Комментарий Георгия Бовтавыяснилось, что таких же пострадавших довольно много. Возникает вопрос: если деньги уходят «Яндексу», значит, кто-то на этих такси ездит?
Когда списываются суммы в 300-400 рублей, можно предположить, что кто-то, получив доступ к чужому аккаунту, оплачивает свои собственные передвижения за счет другого человека. Но когда есть поездки на три тысячи, да еще и с чаевыми в 1,5 тысячи, тут уже явно речь о попытке эти деньги украсть. Но как украсть их у клиента «Яндекса», не отдав их все самому «Яндексу»? Версия основателя и владельца процессинговой компании ChronoPay Павла Врублевского:
Павел Врублевскийоснователь и владелец процессинговой компании ChronoPay«Понятно, что никто не будет списывать эти деньги с карт в пользу «Яндекс.Такси» для того, чтобы эти деньги оставить «Яндекс.Такси». Это делается для того, чтобы деньги каким-то образом «вынуть». Если мне память не изменяет об агрегаторах такси, они, по-моему, работают сразу с таксопарками, которые целиком на себя выводят часто. Возможно, кто-то просто завел фейковый, если можно так выразиться, таксопарк, то есть загнал туда сразу 20 или 30 таксистов, которые на самом деле никакими таксистами не являются и перехватывают заказы через фейковые аккаунты».
В вопросе доступа к чужим аккаунтам все, к сожалению, еще проще и прозаичнее. Глава Агентства кибербезопасности Евгений Лифшиц считает, что, скорее всего, тут замешаны недобросовестные сотрудники «Яндекса».
Евгений Лифшицглава Агентства кибербезопасности«Именно поэтому «Яндекс» возвращает деньги, понимая, что часть ответственности все-таки на их сервисе. Я думаю, мы увидим, так же как и в истории со Сбербанком и вообще с утечкой персональных данных: зачастую есть человек, который помогает мошенникам. Там может быть проблема технически глубже, что есть некие идентификаторы в самой системе, которые каждый пользователь имеет помимо логина и пароля. Потребуют очередную идентификацию. Если нет, то достаточно слить злоумышленнику логин, пароль, он перейдет сразу к уже привязанной карте».
Если все так, то, возможно, возвращать клиентам похищенное действительно пока что проще и дешевле, чем устранять уязвимости или выискивать недобросовестных сотрудников. Что же касается рекомендаций пользователям, то тут ничего не меняется, нужна цифровая гигиена: не заходить на подозрительные сайты, чаще менять пароли и делать их сложными.
Самый простой и надежный способ — завести отдельную карту для осуществления платежей в сети, привязать к ней все аккаунты сервисов такси, онлайн-кинотеатров, музыки, доставки и прочего и периодически пополнять ее примерно на те суммы, которые предполагается потратить онлайн, чтобы, если что, не потерять слишком много.