У клиентов Uber списывают деньги за несуществующие поездки. При чем здесь российские хакеры?

Пользователи Twitter сообщили, что люди в Британии внезапно получали уведомления такси о том, что они разъезжают по Москве и Санкт-Петербургу

Как взломавшие Uber российские хакеры оказались вовсе не российскими — история одного журналистского расследования. Business FM удалось опровергнуть информацию британских газет об атаке российских мошенников на пользователей Uber, а заодно породить сразу несколько конспирологических теорий.

В конце ноября Times и другие британские издания обратили внимание на сотни жалоб пользователей Twitter. Согласно сообщениям, люди в Британии внезапно получали уведомления Uber о том, что они разъезжают по Москве и Санкт-Петербургу. С карточек жертв списывались значительные суммы. Недолго думая, таблоиды нашли виновников — естественно, это были «российские хакеры». Но действительно ли фантомные Uber разъезжают по российской столице и кто может стоять за этим?

Первая улика: многочисленные жалобы британских пользователей Twitter. Обращения к аккаунту Uber_support о несанкционированных поездках по Москве начали появляться весной этого года и прекратились через несколько месяцев. Но было в этих твитах что-то странное: сообщения казались типовыми, иногда с грамматическими ошибками, едва ли не всегда от странных полупустых аккаунтов — явный признак фейков.

У Business FM появилось две версии: разумная и на грани конспирологии. Первая: это акция конкурентов Uber, направленная на дискредитацию компании. Тут же вспомнилось, что главный соперник Uber на американском рынке сервис Lyft в середине ноября объявил о первой международной экспансии. Пока не в Британию, а в Канаду, но все равно подозрительно.

Виктор Майклсон глава группы «Коммуникатор» «У меня даже, может быть, более такая из теории заговора история возникла, что Uber — один из флагманов shared economy. Это когда компания ничем не владеет, но является посредником. Такие компании во всех областях расцвели, они представляют угрозу для компаний реального сектора. Это вполне может быть и организованная атака со стороны каких-нибудь профсоюзов таксистов или каких-нибудь активистов консервативного толка, которые считают, что таким компаниям не место на земле».

Наконец, совсем конспирологическая версия звучит так: что происходит в России, когда появляются новости об очередных проделках «рашн хакеров»? Все закатывают глаза и говорят: «Ну сколько можно, что за чушь?!» При этом существует масса журналистских расследований о деятельности так называемой «фабрики троллей» в Санкт-Петербурге, хотя основные фигуранты все и отрицают.

Но все же чисто теоретически звучит довольно коварно: запустить волну жалоб в Twitter, дождаться сообщений в британской прессе, затем высмеять новость в российской прессе саркастичными заголовками вроде «Российские хакеры добрались и до Uber» (кстати, на нескольких новостных порталах в рунете такие заголовки появились).

Но оставалась одна нестыковка. Некоторые сообщения о несанкционированных поездках по Москве были опубликованы с авторизованных аккаунтов в Twitter. В частности, на это пожаловались колумнистка New York Times и сотрудница портала Food and Wine — обе реальные люди.

Исключает ли это версию об атаке ботов? Не совсем. Мы обратили внимание, что все авторизованные аккаунты имеют одну особенность: у них очень много подписчиков и очень мало лайков и ретвитов. В теории это можно объяснить накруткой числа фолловеров. Чисто гипотетически владельцы аккаунтов могли отдать свои Twitter в управление некоему SMM-агентству, которое резко увеличило число подписчиков, но изредка использовало аккаунты для неких сторонних информационных операций, а значит, и версия об атаке конкурентов, и конспирологическая теория о «многоходовочке» российской «фабрики троллей» остаются в игре. Исключать версию нельзя, хоть и с оговорками, продолжает Михаил Захаров, ведущий эксперт Центра политического анализа:

Михаил Захаров ведущий эксперт Центра политического анализа «Мне кажется, что это вполне логичная история. Первым ходом в такой кампании была бы эксплуатация страхов по поводу русских хакеров, а второе — многочисленное опровержение с цифрами на руках и с доказательствами. В таком случае это косвенно бьет и по идее того, что русские хакеры могли повлиять на выборы в США. Другое дело, что все-таки существуют одни хакеры против других хакеров. Некоторые группы хакеров вполне могли бы самостоятельно решить, скажем, вставить шпильку в РФ. Этот вариант тоже нельзя скидывать со счетов».

Тут в истории случился еще один поворот: Business FM удалось обнаружить обсуждение совершенно реального случая «угона» аккаунта Uber на одном малоизвестном, но вполне популярном американском подкасте Reply All. В 91-м эпизоде под названием «Российский (или русский) пассажир» два IT-эксперта расследовали инцидент, случившийся с их начальником и сооснователем подкаст-портала Gimlet Алексом Блумбергом. В марте этого года ему пришлось заплатить за несколько поездок по Москве, хотя сам он ни разу не был в России. Факт взлома аккаунтов подтвердился, как минимум одна из жалоб реальна. Но действительно ли фантомные Uber ездят только по России?

Расширенный поиск среди обращений к аккаунту Uber_support разбил вдребезги версию британских газет. Жалобы поступают со всего мира, а несанкционированные поездки случаются едва ли не в каждом крупном городе, от Амстердама до Канберры.

Получается, что каждый пользователь Uber рискует в какой-то момент проснуться от уведомлений о том, что с его аккаунта оплачена фантомная поездка по улицам ночного Акапулько? Как выяснили эксперты Reply All, взломанные аккаунты Uber регулярно поступают в продажу на хакерских биржах в Deep Web, или «глубоком интернете». Цена — несколько долларов за штуку — довольно бюджетная, учитывая, что стоимость фантомной поездки может достигать десятков, если не сотен долларов.

При этом, как рассказал журналистам один из продавцов, речь не идет о массовой утечке паролей с серверов Uber — виновата человеческая безалаберность. Многие пользователи интернета до сих пор ленятся и используют один и тот же пароль в приложениях, связанных с оплатой товаров и услуг, и в периферийных сервисах, например на кулинарных форумах. За такими людьми охотятся специализированные хакерские программы.

Когда кто-то взламывает один из плохо защищенных порталов, пароли и логины поступают на продажу в Deep Web. А способов украсть у невнимательного пользователя один из паролей предостаточно.

Роман Бажин заместитель директора исследовательского центра Digital Security «Скачать антивирус бесплатно, ну такие стандартные схемы. Программа для просмотра бесплатных фильмов. То есть стандартный фишинг, обманы, Adware, рекламный софт. Там уже крадут все, что плохо лежит, и продают. Это дешево».

После этого хакеры-покупатели тщательно проверяют, не использовал ли кто-то такую же пару логин — пароль в популярных «денежных» сервисах, например в приложении Uber. Результат — фантомные поездки и потерянные деньги. Могут ли это делать пресловутые российские хакеры? Безусловно, как и американские, северокорейские и другие. Но заголовки британской Times и таблоида Sun проверки не выдерживали.

Правда, осталось одно «но». Замеченные британской прессой жалобы действительно отличаются от общего потока твитов о фантомных поездках. Подозрительно пустые аккаунты, массовость сообщений, иногда ломаный английский, четкое начало потока жалоб — апрель этого года и внезапное окончание — сентябрь. Может ли быть, что кто-то решил воспользоваться реальными фактами взлома аккаунтов Uber и создать волну фейковых сообщений о фантомных поездках именно по Москве, чтобы потом посмеяться над заголовками британской прессы о новой атаке «рашн хакеров»? Даже если и так, подтвердить или опровергнуть такую версию не представляется возможным.