Как мошенники используют фото посадочных талонов из соцсетей

Отправляясь в путешествие, так и хочется сфотографировать красивый билет, особенно если приходится коротать время в ожидании посадки. Однако эксперты рекомендуют этого не делать, а если и фотографировать, то осторожно: иначе есть риск заработать себе кучу проблем вплоть до сорванного отпуска. Так что же может произойти?

На посадочном талоне написаны фамилия и имя пассажира, а также номер билета. Казалось бы, ничего секретного тут нет. Но это не совсем так: зная имя и фамилию туриста, а также номер электронного билета (или код бронирования - PNR), можно зайти в раздел проверки статуса бронирования на сайте авиакомпании. В этом разделе обычно содержатся данные о пассажире, рейсе и месте назначения, зачастую - стоимости билета, а также об обратном перелёте, если турист сразу брал билеты туда-обратно. Таким образом можно узнать, когда вы вернётесь, а эта информация может быть очень полезна, например, ворам-взломщикам.

Также система позволяет увидеть, с кем именно вы летите: хорошо, если это человек, совместный отдых с которым вы не скрываете, - но бывает же всякое! Результат может быть впечатляющим - от обид друзей или семейного скандала до шантажа со стороны мошенников, узнавших вашу тайну.  

Потенциальные опасности на этом не заканчиваются. Системы некоторых авиакомпаний позволяют удаленно отменить обратный перелет или изменить дату обратного вылета: если у вас есть недоброжелатели, эти действия займут у них всего пару минут. Если на сайте сделать пакость не получается, можно попробовать позвонить в авиакомпанию и отменить перелёт, назвав все ваши паспортные данные и полную информацию о полёте.

Даже если вы уверены, что недоброжелателей у вас нет, от интернет-троллей и просто желающих “по фану” проучить незадачливого путешественника никто не застрахован. Насолить путешественнику-хвастунишке в этом случае не составит большого труда. Тем более, многие туристы снабжают фото билетов соответствующими хэштегами, что упрощает поиск “жертвы” в соцсетях. Не верите - проверьте сами, сколько фотографий билетов найдётся в Instagram по хэштегу #boardingpass.

В своё время работу “системы” проверял редактор aviablogger.com Константин Парфенёнок - вполне успешно: “Один «известный блоггер» выложил фотографии из своего путешествия, естественно снабдив их снимками посадочных талонов. Сколько мне понадобилось времени, чтобы, взглянув на фото, узнать его номер паспорта, все параметры полета, личную почту, номер участника в программе лояльности, какой карточкой он оплатил билет и сколько этот самый билет стоил? Меньше минуты. Всё было просто: я открыл сайт авиакомпании, ввел фамилию и код бронирования с фотографии, и вот все заветные данные у меня на экране. А что я с этой информацией могу сделать? Можно, например, позвонить в авиакомпанию и аннулировать обратный сегмент”.

Узнать информацию о пассажире по билету попробовали и мы в редакции. В Instagram нашли фото посадочных талонов, которыми поделились пассажиры “Аэрофлота”, летящие 5 июня из Перми в Москву (данные на фото скрыты редакцией, пользователи выкладывали их в общий доступ).

В разделе “онлайн-регистрация” на сайте авиакомпании просят ввести фамилию и код бронирования - все эти данные находятся на билете. Буквально две минуты - и мы знаем, с кем летит наша путешественница, знаем о том, что далее она летит из Москвы в Барнаул, можем скачать и распечатать её посадочный талон и изменить ей места в самолёте.

Получить доступ к информации о пассажире, выложившем фото билетов “Белавиа” 30 мая, у нас не получилось. Видимо, информация доступна лишь когда поездка не завершена (в том числе если затем туриста ждёт пересадка и обратный перелёт). 30 мая наша путешественница была уже на пути из Шарм-эль-Шейха в Минск, поэтому статус её бронирования по состоянию на 3-4 июня на сайте мы посмотреть не смогли. Однако нельзя утверждать, что более поздняя по времени публикация убережёт туриста от действий злоумышленников: всё-таки условия доступа к данным у разных компаний могут отличаться, а мошенники могут знать гораздо больше о способах собрать информацию о туристе по билету, чем мы.

Например, узнать информацию о пассажире можно по штрих-коду на посадочном талоне: в нём зашифрована личная информация. Это чуть сложнее, но было бы желание: в интернете масса специальных сервисов для расшифровки штрих- и QR-кодов. Даже не зная ничего о вас, по одному коду можно получить информацию о ваших фамилии и имени, номере паспорта, номере рейса и конечной точке путешествия.

Вспомните сами: регистрацию на самолёт вы можете осуществить не заходя в свой личный кабинет на сайте авиакомпании - нужно только ввести вашу фамилию и код бронирования. Они написаны на билете, то есть то же самое может сделать любой другой человек, увидевший ваш посадочный талон в соцсетях.

Полученные данные могут быть использованы самыми разными способами: от фиктивных заявок на кредит до попытки взломать ваш бонусный счет. В некоторых случаях и при определённых навыках злоумышленники могут украсть бонусные баллы пассажира или даже узнать номер его банковской карты.

Не стоит забывать и об уязвимостях в интернет-системах, которые порой случаются даже с крупными компаниями. От ошибок никто не застрахован, но даже в этом случае лишние данные в руках злоумышленников могут сыграть не в пользу туриста.

Почему нельзя выкладвать в интернет фото паспорта и визы?

Некоторые любят выкладывать в сеть фото полученных паспортов - например, с новой фамилией, а порой и просто с удачной фотографией. Это делать тоже нежелательно: теоретически на вас можно оформить кредит или рассрочку. Да, приличный банк потребует оригинал паспорта - но случаи бывают разные. Например, ваши данные могут попасть в руки недобросовестного банковского работника, который оформит на вас кредит - такой случай был у нас в Беларуси, причём не так давно.

По фотографии паспорта можно взламывать аккаунты в интернете - некоторые сервисы просят для восстановления утерянного доступа именно фото паспорта. К слову, и ответы на проверочные вопросы вроде “девичья фамилия матери” или “кличка питомца” тоже зачастую узнаются довольно легко - через социальные сети.

Велик соблазн похвастаться и свеженьким “шенгеном”. Но помните, что паспортные данные указаны и на визе - номер паспорта, а также имя и фамилия путешественника латинскими буквами. Да, это не очень тайная информация: мы легко делимся ею, например, когда оформляем скидочные карточки в магазине. Но она, тем не менее, также может оказаться полезна злоумышленникам: чем больше информации, тем больше вариантов, как ею можно воспользоваться и как узнать больше.  

К слову, стоит лишний раз подумать и перед тем как отправлять скан документов или билеты в личных сообщениях в “ВКонтакте”. Дело в том, что у соцсети есть довольно известный баг: чужие файлы из личной переписки можно найти, воспользовавшись общим поиском по документам. Это касается и фотографий, и текстовых файлов. Например, даже если вы никогда финансовых отчётов никому не слали, если ввести в поиске словосочетание “финансовый отчёт”, то под записью “По запросу финансовый отчёт не найдено ни одного документа” (верно - вы их не отправляли и не получали) поисковик выдаст ещё с полторы тысячи чужих документов. Все они доступны для просмотра и скачивания, хотя были отправлены другими людьми в личной переписке.

Работу злоумышленникам усложняет то, что документы находятся в списке в разброс - найти что-то конкретное сложно. К тому же, человек может назвать документ как угодно - а файлы ищутся только по названию. Зато при должном умении можно узнать, кому именно документ или фото принадлежит, даже если это нигде в файле не прописано. Этим часто пользуются интернет-шантажисты.

На многие ивенты, от футбольного матча до концертов, можно пройти по штрих-коду на билете - а билеты пользователи “ВКонтакте” часто отправляют друг другу в личной переписке, и они так же легко ищутся по общему поиску. Причём пройти по билету, разумеется, можно только однократно: получается, кто раньше пришёл, того и концерт! В лучшем случае можно что-то доказать и попасть на мероприятие ближе к его середине или концу, в худшем придётся просто вернуться домой.

Порой для того, чтобы бесплатно попасть на мероприятие, не обязательно проверять горы личных переписок: некоторые пользователи сами выкладывают фото билетов в интернет. Немного навыков фотошопа - и вуаля, чужой билет с копией вашего штрих-кода готов.

Для отправки билетов, важных документов и их ксерокопий лучше использовать мессенджеры с шифрованием или электронную почту с надёжным паролем. А если уж очень хочется похвастаться посадочным талоном, проверьте, чтобы на нём не видны были номер билета и код бронирования. И не забудьте о штрих-коде!