В Даркнете появилось объявление, в котором хакеры предлагают купить доступ к аккаунту администратора одной из каршеринговых компаний, рассказали «Известиям» в «Лаборатории Касперского». В предложении сказано, что покупатель сможет удаленно управлять сразу несколькими машинами сервиса. Например, отслеживать местоположение автомобиля, открывать и закрывать его, включать и выключать двигатель.
— У любого каршеринга есть так называемая админка — она используется сервисом в случае внештатных ситуаций, — пояснил аналитик по угрозам безопасности транспортного сектора «Лаборатории Касперского» Олег Ягодин.
Техподдержка может дистанционно открыть или закрыть автомобиль, посигналить, поморгать фарами, завести машину, чтобы ее прогреть, или же выключить двигатель, утверждает эксперт.
— Современный автомобиль каршеринга — это не просто автомобиль, а еще и скрытый дополнительный бортовой компьютер с множеством датчиков, постоянно передающий информацию о своем состоянии компании-оператору, — пояснил «Известиям» ведущий консультант информационной безопасности компании R-Vision Евгений Грязнов.
По его словам, благодаря этим датчикам можно отслеживать не только скорость, но и манеру вождения (резкие торможения и разгон, высокие обороты двигателя, повышенный расход топлива). Функциональность такого дополнительного компьютера, набор встроенных в него датчиков и их местоположение являются коммерческой тайной и не разглашаются, добавил специалист.
— Уже много лет в продвинутых охранных системах, которыми оснащены автомобили каршеринга, существует возможность безопасной удаленной блокировки двигателя. Один из возможных вариантов отключения двигателя каршерингового автомобиля дистанционно, на ходу, осуществляется путем перекрытия подачи топлива: машина постепенно глохнет, но остается управляемой, — объяснил Евгений Грязнов.
Мошенники могут использовать доступ к панели управления каршеринга, например, для вымогательства денег.
— Допустим, если хакер удаленно выключит двигатель, то может произойти аварийная ситуация на дороге с оживленным движением. Или же если выключат двигатель в лесу и заблокируют автомобиль, например, зимой, то человек может замерзнуть, пока ждет помощи, — сказал Евгений Грязнов.
Вероятно, если угрожать водителю подобными ситуациями, он предпочтет перевести деньги злоумышленникам. Кроме того, дистанционное управление можно использовать, чтобы навредить конкретному человеку — во внутренней системе каршерингов отображается, кто именно находится за рулем.
— Если злоумышленник сумеет дистанционно остановить машину, скажем, на МКАД, и заблокировать двери, то ситуация сложится опасная. В различных источниках приводятся разные оценки — кто-то говорит, что среднее время до ДТП, когда на стоячего налетит очередной невнимательный водитель, составляет 15 минут, кто-то — что всего 4,5 минуты, но в целом смысл понятен — вряд ли аварии придется ожидать долго, — отметил аналитик рабочей группы «Автонет» (AutoNet) Национальной технологической инициативы (НТИ) Денис Пилипишин. — Есть и риски другого рода: мошенник может получить доступ к персональным данным из приложения пользователя, узнать его ФИО, маршруты поездок, а то и информацию о кредитной карте.
Директор центра Solar appScreener компании «РТК-Солар» Даниил Чернов считает, что наиболее опасна ситуация, если в автомобиле установлена технология контроля запуска двигателя через бензонасос.
— В таком случае, получив доступ к функциям управления и контроля автомобиля, злоумышленник может отключить подачу топлива, что приведет к выключению двигателя прямо на ходу и может спровоцировать аварийную ситуацию на дороге. Важно учесть, что доступ к функциям контроля и управления дает злоумышленнику возможность выбрать наиболее опасный с точки зрения скорости и геолокации момент для отключения подачи топлива, — отметил эксперт.
В «Яндекс Драйве», BelkaCar, «Ситидрайве» и «Делимобиле» отказались от комментариев. Источники «Известий» в четырех каршеринговых компаниях утверждают, что возможности удаленно заблокировать двигатель нет.
Хакеры проявляют интерес не только к каршеринговым компаниям, но и в целом уделяют повышенное внимание кибератакам на транспорт. В частности, во II квартале 2022 года их количество выросло в 1,7 раза по сравнению с аналогичным периодом 2021-го, отметили в компании Positive Technologies.
— Атаки могут быть направлены как непосредственно на сами компании (например, получение доступа к их информационным системам, компрометация, атаки вымогателей и прочее), так и на получение информации об их клиентах и партнерах. Однако здесь стоит отметить, что влияние транспортного сектора на повседневную жизнь несколько шире и угрозы в информационной безопасности могут затронуть и уже затрагивают жизни обычных людей, — отметил Олег Ягодин.
По его мнению, требования к информационной безопасности различных систем транспортного сектора должны быть закреплены на регуляторном уровне. При этом важно регулярно проводит аудит систем, непосредственно затрагивающих безопасность людей, резюмировал эксперт.
Иван Черноусов
Ольга Коленцова