Атаки на системы оплаты в автомобилях (Carsharing, платные парковки, заправки)

[Good Carder]

От кардера — кардерам. Вы думаете, кардинг — это только про вбив CVV на сайтах и скимминг банкоматов? В 2028 году настоящие деньги лежат в инфраструктуре, которую вы используете каждый день, даже не задумываясь. На парковках, заправках, в каршеринге и на зарядных станциях для электромобилей. Системы оплаты здесь слабее, контроль — хуже, а поток платежей — огромен. Никто не проверяет, кто открыл шлагбаум, чья карта оплатила бензин, и кто уехал на арендованной машине.

В этой статье я расскажу, как обманывать системы оплаты в автомобилях. Вы узнаете, как эмулировать сигнал транспондера, чтобы проехать через любой шлагбаум бесплатно, как подменять NFC-терминалы на заправках и зарядных станциях, как взламывать мобильные приложения каршеринга и кататься за чужой счёт, а также как выводить деньги через системы оплаты топлива и парковок.

Часть 1. Эмуляция сигнала транспондера: бесплатный проезд через шлагбаумы и ворота​

Современные парковки и платные дороги управляются системой распознавания транспондеров — маленьких устройств, которые вешают на лобовое стекло. Сигнал транспондера можно перехватить, скопировать и эмулировать. И тогда шлагбаум будет подниматься перед вами, как перед избранным, списывая деньги с чужого счёта.

Разница между RFID-метками (125 кГц для домофонов) и UHF-метками (860–960 МГц для шлагбаумов). RFID метки работают на короткой дистанции (до 10 см) и легко эмулируются смартфоном. UHF метки имеют дальность до 10 метров, используют более сложное шифрование и требуют специальных устройств.

1.1. Классический подход: перехват сигнала пульта​

Самый простой способ — перехватить сигнал радиопульта, который используют жильцы для открытия шлагбаума.

Что нужно:

• Flipper Zero ($170) — устройство, которое может считывать, копировать и эмулировать радиосигналы на частотах 300–928 МГц, а также RFID-метки и NFC-карты. Поддерживает эмуляцию RFID-чипов доступа к домофонам и шлагбаумам на частотах 125 кГц.
• CC1101 модуль для Arduino или Raspberry Pi — дешёвая альтернатива, но требует навыков программирования.

Алгоритм:

1. Дождитесь, пока жилец откроет шлагбаум своим пультом.
2. Включите Flipper Zero в режим Sub-GHz → Read RAW. Устройство перехватит сигнал и сохранит его в память.
3. Нажмите Emulate. Приблизьте Flipper Zero к приёмнику шлагбаума — ворота откроются.

Старые системы используют фиксированный код (static code), который можно перехватить один раз и использовать бесконечно. Современные системы (от 2020 года) используют динамический код (rolling code), который меняется после каждого нажатия. Такие пульты эмулировать сложнее, но некоторые модели (например, CAME 24bit на частоте 433.88 МГц) всё ещё имеют уязвимости.

1.2. Эмуляция RFID и UHF меток через Flipper Zero и смартфон​

Многие паркинги и закрытые жилые комплексы используют RFID-метки, которые прикладывают к считывателю. Эти метки можно скопировать.

Flipper Zero легко справляется с этой задачей: он может считывать данные с домофонных ключей, офисных пропусков и других RFID-меток, сохранять их и эмулировать для беспрепятственного доступа. Метки RFID работают на частоте 125 кГц, и их эмуляция поддерживается Flipper Zero.

Для UHF-меток (дальняя идентификация) эмуляция сложнее. Многие современные шлагбаумы дальнего действия используют UHF RFID технологию с частотой 860–960 МГц, шифрованием и привязкой к номеру автомобиля. Но зная UID метки (серийный номер), можно заказать у китайских производителей дубликат за $5–10, который будет работать в любой системе, где нет криптографической проверки подлинности.

Эмуляция RFID через Android-смартфон:

• BAS-IP UKEY — официальное приложение, которое превращает смартфон в мобильный идентификатор для систем доступа BAS-IP, поддерживающее открытие шлагбаумов, ворот и домофонов через Bluetooth или Wi-Fi.
• FlipperDroid — open-source Android-приложение, которое эмулирует Flipper Zero прямо на телефоне. Поддерживает чтение и эмуляцию NFC, RFID (125 кГц), Bluetooth, а также BadUSB и сетевые инструменты.

Telegram-боты для удалённого доступа: В закрытых Telegram-каналах продаются боты для удалённого открытия шлагбаумов в крупных городах. Вы платите $20–50 за «ключ», который работает через API систем «умный дом» или через уязвимости в web-интерфейсах СКУД.

1.3. Атака на системные базы данных​

Самый жирный и самый опасный метод — получить прямой доступ к БД системы контроля доступа паркинга (например, ParkMobile, ParkWhiz, местные операторы).

В 2025 году более 1 800 уязвимостей уровня critical и high были обнаружены в транспортных приложениях и системах. Многие парковочные системы используют базы SQLite с простыми паролями, которые легко подобрать через брутфорс.

Если вам удалось получить дамп базы UHF-меток, содержащий UID, вы можете массово дублировать карты и продавать доступ к парковкам в Telegram-каналах по $10–30 за штуку.

Часть 2. Перехват платежей через АЗС, зарядные станции и NFC-скимминг​

АЗС — излюбленная мишень для кардеров. Бесконтактная оплата через NFC стала основным способом расчёта. Согласно новым правилам с мая 2026 года, бесконтактные карты и смартфоны с NFC стали приоритетным способом расчёта на большинстве АЗС, упрощая задачу атакующим.

Это создаёт новые возможности для кардеров: от установки скиммеров до релейных атак. C начала 2026 года исследователи идентифицировали новый семейства Android-малвари, включая DevilNFC и NFCMultiPay, активно проводящие NFC релейные атаки против европейских банковских клиентов. Зарядные станции для электромобилей — ещё более лёгкая добыча, так как они часто расположены в безлюдных местах и имеют слабую защиту.

2.1. NFC-ретрансляция: Ghost Tapped, DevilNFC и NGate​

Это самый продвинутый и эффективный метод кражи. Вы превращаете телефон жертвы в ваш личный бесконтактный терминал.

Как работает Ghost Tapped:

1. Жертва скачивает вредоносное приложение (маскирующееся под банковское приложение или игру).
2. Малварь активирует NFC-чип телефона в фоновом режиме и «слушает» сигналы карт, приложенных к телефону. По данным CSIRT, вредоносное ПО может скрыто активировать NFC и инициировать платёжные процессы без согласия пользователя.
3. Кардер использует данные карты для совершения транзакций через подконтрольный терминал, опустошая счёт жертвы за секунды.

DevilNFC — ещё одно семейство Android-троянов, обнаруженное в 2026 году. Оно использует NFC-ретрансляцию для удалённого мошенничества с платежами. В режиме киоска (kiosk mode) приложение блокирует экран телефона жертвы, показывая поддельный интерфейс, и в фоне перехватывает платёжные данные для ретрансляции сообщнику, стоящему у терминала.

NGate — модифицированная версия легитимного NFC-приложения HandyPay. Вредоносный код позволяет кардерам ретранслировать NFC-сигналы карт жертвы на любое расстояние через интернет. Одной из последних модификаций NGatе является то, что часть кода зловреда генерируется ИИ.

NFC-скимминг: Установка поддельного NFC-считывателя поверх легитимного на терминале АЗС. По данным на 2026 год, кардеры используют просверлённые отверстия в бесконтактных платёжных экранах, чтобы повредить сенсор и вынудить водителей использовать небезопасный магнитный пропуск.

2.2. Взлом зарядных станций для электромобилей​

Зарядные станции — дырявый сегмент платёжной инфраструктуры. Плохо защищены, расположены в безлюдных местах.

Quishing (поддельные QR-коды): Кардеры наклеивают поддельные QR-коды поверх настоящих на зарядной станции. Водитель сканирует код, попадает на фишинговую страницу и вводит данные своей карты. Так собирают тысячи CVV в день.

Релейная атака на протокол ISO 15118 Plug & Charge: Эксплойт, позволяющий заряжать свой электромобиль за чужой счёт. Атакующий строит поддельную зарядную станцию, подключает её к автомобилю жертвы и ретранслирует криптографическую аутентификацию на реальную станцию. Владелец автомобиля платит, а мошенник заряжается.

Уязвимости нулевого дня на Pwn2Own Automotive 2026: В январе 2026 года участники взломали множество зарядных станций, включая Alpitronic HYC50, Autel MaxiCharger, Grizzl-E Smart 40A и ChargePoint Home Flex. За 76 уязвимостей было выплачено более $1 047 000. Всего за два дня было найдено 37 уязвимостей в автомобилях Tesla и других зарядных станциях.

Эксплойты: Например, уязвимость CVE-2026-9396 в зарядной станции BS20 позволяла кардеру манипулировать отображением платёжной информации на дисплее станции, подменять сумму или перенаправлять транзакцию на подставной счёт.

Часть 3. Атаки на мобильные приложения каршеринга: катаемся за чужой счёт​

Каршеринг — это gold mine для кардера. Вы не крадёте данные карты, вы крадёте аккаунт, а вместе с ним — доступ к автомобилю. Тысячи людей ежедневно оставляют в приложениях свои паспортные данные, номера водительских прав и данные банковских карт.

Приложения для каршеринга в большинстве своём не готовы противостоять вредоносным программам, а мошенники уже занимаются продажей аккаунтов каршеринговых служб.

3.1. Уязвимости приложений каршеринга​

Хранение чувствительных данных в незащищенном виде. Эксперты выявили более 400 уязвимостей в 13 популярных приложениях для каршеринга, 25 из них — высокого уровня. Около трети всех исследованных приложений для транспорта хранят конфиденциальные данные, включая пароли и платёжную информацию, в незашифрованном виде.

Недостаточная защита от наложения приложений. Эта уязвимость позволяет вредоносным приложениям отображать фишинговые окна поверх легитимного интерфейса каршеринга и красть учётные данные пользователя.

Незащищённое API. Многие сервисы используют устаревший протокол OAuth 1.0 со слабыми ключами или открытые REST API без аутентификации. В 2026 году зафиксирован рост AI-связанных уязвимостей в API на 1025%, большинство из которых связано с небезопасной аутентификацией и некорректными конфигурациями.

Опасность:

• Взломщик может перехватить API-запрос, изменить VIN-номер арендованного автомобиля и кататься на нём бесплатно.
• Получить доступ к закрытым зонам через геолокационные API.
• Украсть данные всех пользователей через уязвимость CVE-2026-24748, позволяющую неавторизованному кардеру извлекать конфигурационные данные, включая эндпоинты и пространства имён кластеров, для последующих атак.

3.2. Взлом CAN-шины автомобиля через фару​

Современные автомобили имеют множество точек доступа для кардеров: CAN-шины, OBD-разъём, Ethernet-порт, NFC-модуль, Wi-Fi/Bluetooth-чипы, LTE-модемы. Пример — взлом CAN-шины через фару для доступа к системе запуска двигателя.

Как это работает:

1. Кардер получает физический доступ к фаре автомобиля (арендованного через каршеринг).
2. Подключается к CAN-шине через диагностический разъём в фаре.
3. Внедряет вредоносный код, который разблокирует двери и запускает двигатель удалённо.

После такого взлома автомобиль можно угнать (или просто покататься бесплатно), отключить GPS-трекер, замести следы. Арендодатель обнаружит пропажу, когда автомобиль уже будет разобран на запчасти.

3.3. Схемы монетизации: от кражи карт до продажи аккаунтов​

• Кража данных карт. Установка вредоносного ПО на телефон сотрудника каршеринга, кражу базы данных или атаку на API.
• Продажа аккаунтов. Цена верифицированного аккаунта каршеринга (Yandex.Drive, Delimobil, BelkaCar) — $20–50. За эти деньги человек получает готовую учётную запись с подтверждёнными правами и привязанной картой, которой можно пользоваться, пока жертва не заметит.
• Подмена счёта оплаты. Через API каршеринга можно изменить привязанную карту на свою. Тогда все поездки нового пользователя будут оплачиваться картой предыдущего владельца.
• Выезд за границу. Некоторые российские каршеринги ограничивают выезд за МКАД. Через взлом системы геозон можно отключить это ограничение и кататься бесплатно, пока сервис не обнаружит аномалию.

Часть 4. OPSEC и чек-лист для атакующего​

Физическая безопасность:

• Используйте автомобиль (арендованный или свой). Атака с движущегося автомобиля — лучшая маскировка. Включайте глушилки, но имейте в виду, что они излучают мощный сигнал, который могут засечь.
• Маскировка оборудования. Flipper Zero должен быть спрятан в подлокотнике или под приборной панелью. Для подключения к CAN-шине используйте скрытый OBD-разъём.
• Меняйте транспорт. Не используйте один и тот же автомобиль для атак в одном районе более 2–3 раз.

Цифровая безопасность:

• Всегда используйте VPN/прокси. Регистрируйтесь на каршеринг через прокси страны, где зарегистрирован аккаунт.
• Для работы с API используйте цепочку Tor → VPN → резидентный прокси.
• После атаки уничтожьте все логи, очистите кеш приложений, удалите вредоносные профили и переустановите систему.

Резюме​

Атаки на системы оплаты в автомобилях — это новая золотая жила для кардера. Flipper Zero дешёвый и открывает шлагбаумы, NFC-трояны ретранслируют сигналы с телефонов на банкоматы, API-уязвимости каршеринга продают машины за бесценок.

В 2026 году технологии шагнули вперёд: AI помогает взламывать зарядные станции, а миллионные призовые на Pwn2Own подтверждают серьёзность угроз. Запомните главное правило: не жадничайте. Один шлагбаум, одна заправка, один угнанный аккаунт каршеринга. Чем меньше вы оставите следов, тем дольше проживёте в этой игре.

Быстрая памятка на одну строку:
«Flipper Zero эмулирует любую RFID-метку, Ghost Tapped крадёт NFC-платежи с телефона, API каршеринга продаёт машину за полцены. Уязвимости зарядных станций ломают платёжную логику. DevilNFC, NGate, ISO 15118 relay — вот ваше оружие в 2028. И помни: пока ты катаешься на чужом авто, владелец платит за бензин»