27.11.2021

Кто ворует деньги у пользователей «Яндекс.Такси»?

13 декабря 2019

Кто ворует деньги у пользователей «Яндекс.Такси»?

Business FM уже рассказывала о волне жалоб россиян, которые сообщали о том, что сервис «Яндекс.Такси» списывал у них деньги за поездки, которых они не совершали. Константин из Москвы умудрился за одну ночь дважды выехать из подмосковного села в неизвестном направлении и заплатить за это по три тысячи каждый раз, да еще и в благодарность оставить чаевых по 1,5 тысячи за каждую поездку. Всего Константин потратил на такси в ту ночь 9074 рубля, притом что физически он никуда не ездил.

«Я сразу же звоню в «Яндекс», там говорят, что не видят этих транзакций, то есть они ничего не списывали, на их счет ничего не поступало. Я звоню в Сбербанк, блокирую карту. Они говорят: «Да, мы видим, что это «Яндекс». Я догадываюсь, что нужно обращаться в полицию, пишу заявление. Все это время «Яндекс» никак не реагирует. Я писал, звонил, в ответ — какие-то дежурные фразы: «Мы обязательно разберемся, проводим внутреннюю проверку по факту».


Примерно так же в «Яндексе» ответили и Business FM. Но надо признать: через две недели компания вернула Константину деньги. А пока он разбирался в вопросе,
выяснилось, что таких же пострадавших довольно много. Возникает вопрос: если деньги уходят «Яндексу», значит, кто-то на этих такси ездит?


Когда списываются суммы в 300-400 рублей, можно предположить, что кто-то, получив доступ к чужому аккаунту, оплачивает свои собственные передвижения за счет другого человека. Но когда есть поездки на три тысячи еще и с чаевыми в 1,5 тысячи, тут уже явно речь о попытке эти деньги украсть. Но как украсть их у клиента «Яндекса», не отдав их все самому «Яндексу»? Версия основателя и владельца процессинговой компании ChronoPay Павла Врублевского:


Павел Врублевский

основатель и владелец процессинговой компании ChronoPay

«Понятно, что никто не будет списывать эти деньги с карт в пользу «Яндекс.Такси» для того, чтобы эти деньги оставить «Яндекс.Такси». Это делается для того, чтобы деньги каким-то образом «вынуть». Если мне память не изменяет об агрегаторах такси, они, по-моему, работают сразу с таксопарками, которые целиком на себя выводят часто. Возможно, кто-то просто завел фейковый, если можно так выразиться, таксопарк, то есть загнал туда сразу 20 или 30 таксистов, которые на самом деле никакими таксистами не являются и перехватывают заказы через фейковые аккаунты».




В вопросе доступа к чужим аккаунтам все, к сожалению, еще проще и прозаичнее. Глава Агентства кибербезопасности Евгений Лифшиц считает, что, скорее всего, тут замешаны недобросовестные сотрудники «Яндекса».


Евгений Лифшиц

глава Агентства кибербезопасности

«Именно поэтому «Яндекс» возвращает деньги, понимая, что часть ответственности все-таки на их сервисе. Я думаю, мы увидим, так же как и в истории со Сбербанком и вообще с утечкой персональных данных: зачастую есть человек, который помогает мошенникам. Там может быть проблема технически глубже, что есть некие идентификаторы в самой системе, которые каждый пользователь имеет помимо логина и пароля. Потребуют очередную идентификацию. Если нет, то достаточно слить злоумышленнику логин, пароль, он перейдет сразу к уже привязанной карте».




Если все так, то, возможно, возвращать клиентам похищенное действительно пока что проще и дешевле, чем устранять уязвимости или выискивать недобросовестных сотрудников. Что же касается рекомендаций пользователям, то тут ничего не меняется, нужна цифровая гигиена: не заходить на подозрительные сайты, чаще менять пароли и делать их сложными.