В настоящее время каршеринговые сервисы стремительно набирают обороты и даже захватывают регионы. Кто-то отказался от личного автомобиля в пользу каршерингового, а кто-то по-прежнему обходит эти машины стороной. Давайте попробуем разобраться в том, что же это за такое иностранное слово, которое у всех уже на слуху, как устроен каршеринговый сервис и как он функционирует?
В качестве примера возьмем некий каршеринговый сервис «N» и рассмотрим взаимодействие всех составляющих этого сложного механизма.
Все автомобили отображаются на карте в режиме реального времени, как у клиента, так и у оператора call-центра. Для того, чтобы информация постоянно обновлялась и актуализировалась, сервер «опрашивает» машины с определенным тайм-аутом. Оператор видит весь автопарк в CRM и может управлять абсолютно любой машиной вне зависимости от того, находится ли эта машина в текущей аренде или же в статусе «свободна». На скриншоте ниже — пример CRM:
Достаточно кликнуть по машине и мгновенно открывается диалоговое окно с возможностями по управлению:
Для пользователей CRM доступны следующие опции (набор опций зависит от конфигурации и модификации установленного в нее телематического оборудования):
— удаленная блокировка/разблокировка дверей;
— удаленная блокировка/разблокировка двигателя;
— открытие форточек автомобиля;
— удаленный автозапуск автомобиля;
— управление звуковым сигналом автомобиля.
Геозона сервиса – область, обозначенная на карте, в рамках которой действует конкретный каршеринговый провайдер. Т.е в пределах данной зоны оператор гарантирует, что клиентское приложение и телематическое оборудование будут корректно работать. Как происходит отслеживание того, что машина покинула геозону?
Все очень просто! Геозона – полигон точек. Определенная заданная область (на скриншоте ниже – это город Пермь). Покинул автомобиль геозону или наоборот вернулся – определяется вхождением координат Latitude & Longitude в конкретную область. Выглядит это примерно следующим образом:
Многими каршеринговыми операторами установлено правило – выезд за пределы геозоны необходимо согласовывать с оператором коллцентра. Завершать аренду вне зоны – запрещено, либо даже ограничено на программном уровне.
Для того, чтобы автомобиль смог управляться дистанционно, по CAN шине подключается специальное телематическое оборудование, как изображено ниже:
Устройство внешне похоже на обычную спутниковую сигнализацию, которую устанавливают автовладельцы на свои личные автомобили. Встроенный CAN трансивер служит для взаимодействия с сетью транспортного средства, позволяя запрашивать данные об остатке топлива, состоянии узлов, получать данные о дверях, капоте, багажнике, двигателе и другой информации. Данные в свою очередь передаются через обычные 3G/4G сети. В каждом устройстве находится в среднем по две сим-карты, которые делают сигнал для передачи телематических данных стабильнее. Обычное данное оборудование устанавливается за приборной панелью и скрыто от пользователя. По сути это и есть «мозг» каршерингового автомобиля.
Взаимодействие машины с сервером происходит на программном уровне. Пакеты с данными передаются с телематического оборудования на сервер и наоборот.
Во время каждого из «опросов» машины, от телематического оборудования поступает примерно следующая информация:
Из данного примера ответа от машины, мы видим, что передается абсолютно вся информация по текущему состоянию автомобиля: датчики, местоположение, статусы дверей и т.д. Откуда же берется данная информация и что за устройство ее передает?
Обычный пользователь для пользования каршеринговым сервисом использует специальное мобильное приложение, выпущенное конкретным оператором, для доступа к автопарку. Однако зачастую в новостях, в различных Telegram каналах мы слышим про фейковые аккаунты. На скриншоте ниже – пример одного из Telegram каналов, где любой желающий может купить аккаунт:
Принцип регистрации фейковых аккаунтов прост! Данные, необходимые для регистрации (паспорт, водительское удостоверение), злоумышленники берут из различных источников. Иногда «жертвы» сами передают свои данные. Получив данные, злоумышленники регистрируют аккаунт, служба безопасности каршерингового оператора одобряет эту учетную запись и далее ее выставляют на продажу. Ездить под таким аккаунтом уголовно наказуемо. Службы безопасности ведут активное наблюдение за практически каждой текущей поездкой.
Второй способ, которым пользуются злоумышленники для регистрации аккаунта – использование уязвимостей в программном обеспечении. Так относительно недавно была похищена база данных пользователей каршерингового оператора «TimCar». А совсем на днях – для получения доступа к аккаунту одного из столичных операторов даже не надо было вводить код подтверждения, который приходит по смс. Сервер оператора сам его отправлял клиенту в ответе на запрос:
Введя код из поля «veryfy_code» мы спокойно могли войти в аккаунт жертвы, зная только номер телефона.
Думаю, что данная статья поможет обычным пользователям разобраться в базовых принципах работы сервисов краткосрочной аренды автомобилей. А также ответить на многие вопросы, которые до этого были непонятными.
В качестве примера возьмем некий каршеринговый сервис «N» и рассмотрим взаимодействие всех составляющих этого сложного механизма.
Удаленное управление автопарком, как оно происходит через CRM оператора
Все автомобили отображаются на карте в режиме реального времени, как у клиента, так и у оператора call-центра. Для того, чтобы информация постоянно обновлялась и актуализировалась, сервер «опрашивает» машины с определенным тайм-аутом. Оператор видит весь автопарк в CRM и может управлять абсолютно любой машиной вне зависимости от того, находится ли эта машина в текущей аренде или же в статусе «свободна». На скриншоте ниже — пример CRM:
Достаточно кликнуть по машине и мгновенно открывается диалоговое окно с возможностями по управлению:
Для пользователей CRM доступны следующие опции (набор опций зависит от конфигурации и модификации установленного в нее телематического оборудования):
— удаленная блокировка/разблокировка дверей;
— удаленная блокировка/разблокировка двигателя;
— открытие форточек автомобиля;
— удаленный автозапуск автомобиля;
— управление звуковым сигналом автомобиля.
Геозоны сервиса
Геозона сервиса – область, обозначенная на карте, в рамках которой действует конкретный каршеринговый провайдер. Т.е в пределах данной зоны оператор гарантирует, что клиентское приложение и телематическое оборудование будут корректно работать. Как происходит отслеживание того, что машина покинула геозону?
Все очень просто! Геозона – полигон точек. Определенная заданная область (на скриншоте ниже – это город Пермь). Покинул автомобиль геозону или наоборот вернулся – определяется вхождением координат Latitude & Longitude в конкретную область. Выглядит это примерно следующим образом:
Многими каршеринговыми операторами установлено правило – выезд за пределы геозоны необходимо согласовывать с оператором коллцентра. Завершать аренду вне зоны – запрещено, либо даже ограничено на программном уровне.
Секретное оборудование
Для того, чтобы автомобиль смог управляться дистанционно, по CAN шине подключается специальное телематическое оборудование, как изображено ниже:
Устройство внешне похоже на обычную спутниковую сигнализацию, которую устанавливают автовладельцы на свои личные автомобили. Встроенный CAN трансивер служит для взаимодействия с сетью транспортного средства, позволяя запрашивать данные об остатке топлива, состоянии узлов, получать данные о дверях, капоте, багажнике, двигателе и другой информации. Данные в свою очередь передаются через обычные 3G/4G сети. В каждом устройстве находится в среднем по две сим-карты, которые делают сигнал для передачи телематических данных стабильнее. Обычное данное оборудование устанавливается за приборной панелью и скрыто от пользователя. По сути это и есть «мозг» каршерингового автомобиля.
Взаимодействие машины с сервером
Взаимодействие машины с сервером происходит на программном уровне. Пакеты с данными передаются с телематического оборудования на сервер и наоборот.
Во время каждого из «опросов» машины, от телематического оборудования поступает примерно следующая информация:
{
"success": true,
"total": "1",
"car": [
{
"date": "2019-03-01 12:00:19.306955",
"id": "124",
"id_category": "2",
"id_emi": "295",
"id_status": "9",
"vendor": "Kia Rio",
"marka": "",
"year": "",
"id_modification": "",
"vin": "WF0DXXGTB60052135",
"numberplate": "У111ЕУ799",
"color": "",
"descr": "",
"emi": "580855023425759",
"data_fuel": "50",
"data_voltage": "12.6400000000000000",
"fuel_by_can": "1",
"onoffdirect": "1",
"insurance_card": null,
"id_typefuel": "1",
"name_typefuel": "АИ-95",
"id_typetransmission": "1",
"name_typetransmission": "АКПП",
"is_agg_car": null,
"odometer": "22471",
"clat": "55.61313000",
"clng": "37.61698000",
"plat": "55.61321100",
"plng": "37.61700000",
"doors": [
"0"
],
"sensor": [
"0",
"0",
"0",
"0",
"0",
"0"
]
}
]
}
Из данного примера ответа от машины, мы видим, что передается абсолютно вся информация по текущему состоянию автомобиля: датчики, местоположение, статусы дверей и т.д. Откуда же берется данная информация и что за устройство ее передает?
Взаимодействие клиента с сервером
Обычный пользователь для пользования каршеринговым сервисом использует специальное мобильное приложение, выпущенное конкретным оператором, для доступа к автопарку. Однако зачастую в новостях, в различных Telegram каналах мы слышим про фейковые аккаунты. На скриншоте ниже – пример одного из Telegram каналов, где любой желающий может купить аккаунт:
Принцип регистрации фейковых аккаунтов прост! Данные, необходимые для регистрации (паспорт, водительское удостоверение), злоумышленники берут из различных источников. Иногда «жертвы» сами передают свои данные. Получив данные, злоумышленники регистрируют аккаунт, служба безопасности каршерингового оператора одобряет эту учетную запись и далее ее выставляют на продажу. Ездить под таким аккаунтом уголовно наказуемо. Службы безопасности ведут активное наблюдение за практически каждой текущей поездкой.
Второй способ, которым пользуются злоумышленники для регистрации аккаунта – использование уязвимостей в программном обеспечении. Так относительно недавно была похищена база данных пользователей каршерингового оператора «TimCar». А совсем на днях – для получения доступа к аккаунту одного из столичных операторов даже не надо было вводить код подтверждения, который приходит по смс. Сервер оператора сам его отправлял клиенту в ответе на запрос:
{
"success": 1,
"return": {
"veryfy_code": 3634,
"sms_id": "201907-1000009"
}
}
Введя код из поля «veryfy_code» мы спокойно могли войти в аккаунт жертвы, зная только номер телефона.
Думаю, что данная статья поможет обычным пользователям разобраться в базовых принципах работы сервисов краткосрочной аренды автомобилей. А также ответить на многие вопросы, которые до этого были непонятными.
