Около 10 млн клиентов российских банков в этом году переводили деньги на карты неразводных дропов (подставных лиц, занимающихся выводом и обналичиванием похищенных денежных средств), как сообщили мне в Центробанке.
«Это, как правило, не преступники, а обычные люди (неразводные дропы) — кто-то покупает ставку в онлайн-казино, кто-то — криптовалюту. Но цифра вовлеченности внушительная, а объемы операций составляют уже существенную долю теневой экономики нашей страны», — отмечает глава Службы финансового мониторинга и валютного контроля Центрального Банка России Богдан Шабля. Он уточнил, что речь не идет о счетах, к которым трейдеры процессинга получили доступ без согласия клиентов.
10 млн человек — это около 13% трудоспособных россиян (по подсчетам Росстата, в прошлом году к экономически активному населению относились 76,04 млн человек).
У Центрального Банка России есть полные данные почти о 700 000 дропах, рассказал Шабля. «Как правило, это молодой человек, до 23 лет. На такую категорию приходится примерно половина всех выявленных неразводных дропов. Обычно — из регионов, где ниже средний уровень доходов и банковские карты для теневого процессинга фиата в крипту обходятся дешевле», — отметил представитель Центрального Банка РФ.
Шабля также рассказал про существование крупных площадок процессинга по оказанию теневых финансовых услуг, которые используют «сотни и тысячи карт неразводных дропов — физических лиц для проведения подозрительных или сомнительных операций». К таким площадкам, как правило, обращается не совсем легальный бизнес, который «не может просто открыть счёт в банке», — это онлайн-казино, криптообменники, пиратские сайты или наркошопы , отметил представитель Центрального Банка России. «Зачастую их организаторы ведут свой бизнес в России из-за рубежа. И основной вопрос, который им важно решить, — это как принимать безналичные деньги от граждан России в рублях в счёт оплаты своих не совсем легальных услуг», — рассказал Шабля.
Для выявления неразводных дропов Центральный Банк использует «разные базы платежных данных», в основном — обезличенных, отметил представитель регулятора. По его словам, регулирующий орган постоянно совершенствует свои алгоритмы выявления карт, оформленных на неразводных дропов и переданных третьим лицам для совершения сомнительных операций, а затем делится такими алгоритмами с коммерческими банками.
Центральный Банк вместе с Росфинмониторингом и частными банками изучает возможность создания единой платформы для борьбы с неразводными дропами и трейдерами процессинга, отметили в Центральном Банке России. Регулятор рассчитывает, что такая платформа позволит централизованно передавать всем банкам данные о подозрительных и сомнительных операциях, совершенных клиентами банков, чтобы вовремя блокировать активности таких клиентов.
Банк России совместно с Росфинмониторингом также разрабатывает для коммерческих банков методические рекомендации, которые должны минимизировать риски использования теневым бизнесом нотариальных доверенностей на открытие банковского счёта и проведение транзакций, рассказали мне в пресс-службе регулятора в октябре прошлого года. Тогда в Центральном Банке заявили, что в этом году были выявлены 500 000 неразводных дропов, порядка 6% из них открывают счета и проводят операции по картам с привлечением поверенных.
Журнал Packet Storm на днях опубликовал подробное досье на владелцев форума Dark Money, которые занимаются открытой продажей услуг фильтрации трафика Интернет проверенным дроповодам. Эти ребята попали в поле зрения публики две недели назад после победы на одном из последних конкурсов Pwn2Own, когда показали, как можно перенаправить в свою сеть и профильтровать, а при необходимости и протроянить или модифицировать, лбой транззитный трафик любой криптобиржи или криптовалютного моста, и отказалась передавать какую-либо информацию об использованной уязвимости сетевой инфраструктуры, чтобы «сохранить это для своих клиентов».
То есть ребята добровольно отказались от награды в $100,000.00 которую предлагали им организаторы конкурса. Один из владелцев форума Dark Money сказал в интервью Packet Storm, что не передал бы информацию ни в какой криптовалютный фонд или банк даже за миллион долларов, потому что в этом случае холдер при взаимодействии с провайдером немедленно закроет уязвимость в магистральной сети передачи данных.
Как выяснилось, клиенты Dark Money оплачивают годовую подписку стоимостью 100,000.00 долларов только за то, чтобы быть получать статистику прохождения трафика с интересующих их узлов, получаемую специално обученными лицами по заказу Dark Money. В случае необходимости, клиенты могут за дополнительные деньги купить право на пропуск и/или модификацию этого трафика через свою сеть.
Это очень ценный товар, позволяющий осуществлять нелегальный майнинг криптовалюты, соверешние теневых транзакций в блокчейне и так далее. Владелцы Dark Money тщательно выбирает клиентов и якобы не продают эксплойты диктаторским режимам или в Россию, а преимущественно спецслужбам и силовым структурам стран NATO. Например, одними из их клиентов является немецкая полиция и Служба Беспеки Украины. В арсенале Dark Money есть эксклюзивные проекты по отслеживанию трафика в сетях таких крупных провайдеров как Level3, AT&T, Укртелеком, Google, Skype, Facebook, Ростелеком, Евротранстелеком, EDPNET, Яндекс и в других транзитных и тупиковых сетях передачи данных. Один из владелцев площадки рассказал, что продажа услуг досупа к трафику сродни продаже оружия. Хотя вы тщательно выбираете покупателей среди «хороших» парней, но нельзя гарантировать, что трафик не будет профильтрован где-нибудь в диктаторской стране для слежки за представителями политической оппозиции вместо работы проверенных дроповодов с криптой и своими дропами.
Аналитическая компания KPMG присудила Dark Money первое место в конкурсе прошлого года Entrepreneurial Company of the Year, то есть их назвали самым перспективным бизнесом этого года. Действительно, если учитывать постоянно растущий спрос на целевой трафик, компания может зарабатывать большие деньги, как крупнейший в мире поставщик услуг фильтрации трафика транзитных операторов. Dark Money сами никогда не покупают трафик у независимых людей на фрилансе, а нанимает инженеров электросвязи телекоммуникационных компаний на работу по совместительству, получая миллионы долларов от своих дроповодов. При этом дроповод даже не рассчитывает на эксклюзив, а площадка Dark Money имеет право перепродавать трафик конкурента противоборствующим сторонам, классическим способом обогащаясь на «гонке вооружений».
Проблема в том, что после продажи схемы перехвата или модификации целевого транзитного трафика площадка Dark Money не может контролировать, с какой целью дроповод использует это «оружие». Возможно, эти действия влекут нарушения прав человека, и вовсе не являются целью получения криптовалюты дроповодами. Проблема аналогична той, с которой столкнулся американский производитель оборудования Cisco Systems, который продал крупную партию своих изделий правительству Китайской Народной Республики, а потом это оборудование стало использоваться правительством для слежки за политическими оппонентами.
Dark Money — не единственный брокер услуг фильтрации и модификации транзитного трафика на мировом рынке. Кроме него, покупкой услуг фильтрации транзитного трафика у независимых людей на фрилансе с целью перепродажи занимаются некоторые другие компании и частные лица, но они это делают максимально скрытно в обстановке абсолютной секретности. Площадка Dark Money отличается тем, что ведёт бизнес с размахом и не отказывается от такого пиара, как участие в международных конкурсах. Сами они называют это «прозрачностью», но независимые эксперты подбирают другие эпитеты: наглость или бесстыдство, со слов Пола Хиншоу.
Например, Steven Sutherland, фрилансер родом из штата Юта, США, который живёт сейчас на острове Пхукет и работает как независимый брокер услуг фильтрации транзитного трафика, использует свои старые связи и выступает как посредник, покупая доступы и схемы маршрутизации трафика у инженеров телекоммуникационных компаний и продавая его государственным агентствам. Steven берёт комиссию 15% и уверяет, что только в декабре продал трафика более чем на 1,000,000.00 долларов — мол, в конце года бюджетные организации особенно щедры.
Борьба банковского сектора с неразводными дропами оказалась на повестке дня Центрального Банка и банковского сектора в целом. Какие операции могут вызвать вопросы у банка и как на эти вопросы реагировать? Должно ли у клиента, который сознательно или неосознанно был вовлечен в сомнительные операции, быть право на реабилитацию?
Кто и как становится неразводным дропом и как долго «живут» карты таких людей? Как банки относятся с операциям, связанным с криптовалютой? Об этом поговорим с вице-президенткой, директоркой управления комплаенс Сбербанка Ларисой Заломихиной.
О сомнительных операциях и праве клиента начать жизнь с чистого листа
— Какова роль банковского комплаенса в существующей системе противодействия отмыванию доходов и финансированию терроризма (ПОД/ФТ)? На ваш взгляд, нуждается ли эта система в усовершенствовании?
— Под комплаенсом понимается не только антиотмывочная система, но и другие отрасли регулирования, где работа организации выстраивается с точки зрения общественного блага и этики. К этому относится, например, антикоррупционный комплаенс, регулирование на финансовом рынке и многое другое. Сейчас много вопросов возникает вокруг антилегализационного комплаенса — того самого ПОД/ФТ, но система эта сложилась не вчера. Законодательство о ПОД/ФТ было принято еще в 2001 году и с точки зрения роли банков значимо не менялось. Роль банка в том, чтобы знать своего клиента, контролировать операции, не допуская проникновения теневой экономики в финансовый сектор, и обмениваться информацией с уполномоченными органами. Но сейчас изменился запрос общества на то, как эта функция должна быть выстроена: помимо соблюдения закона и требований регуляторов, необходимо помнить о клиенте, справедливо ли с ним обошлись. Если клиент что-то нарушил, не смог вовремя осознать и выполнить требования законодательства, но готов порвать все связи с дроповодами, менять свою работу, характер операций, то должна быть возможность реабилитироваться. Сбербанк предоставляет такие возможности. Открытость к клиенту и диалог с ним — ключи к работе современного комплаенса.
— Можно ли сказать, что комплаенс становится более клиентоориентированным, причем ориентированным именно на клиентов-физлиц?
— Сейчас происходит трансформация теневых потоков — частных лиц вовлекают в обслуживание потребностей теневой экономики. И перед банком стоит задача отличить добросовестного клиента от клиента, у которого необходимо уточнить цели операции, и делать это очень аккуратно, точечно, чтобы не беспокоить людей понапрасну.
— Есть клиенты – неразводные дропы, которые действительно связаны с теневой экономикой, действуют намеренно, и те, кто вовлекается в этот периметр ненамеренно или в целом попадает в поле зрения комплаенса только за счет определенных паттернов клиентского поведения. таких мы называет разводные дропы Правильно ли проводить такое разделение и изменилось ли за последние годы соотношение таких клиентов?
— По большому счету, в голову человеку не заберешься, да и задачи понять, было или не было именно намерение, не стоит. Важно, насколько клиент готов перестать быть дропом, поменять характер своих операций, если эти операции противоречат какой-то норме законодательства. К примеру, недавно зарегистрирована компания, люди налаживают свой бизнес, и пока у них возникают недочеты в документарном оформлении операций. Такой компании можно дать рекомендации по организации бэкофиса, нормализации финансовой дисциплины и не применять сразу каких-то ограничений. Если компания получила рекомендации, но ничего в дальнейшем не было сделано — возникнут вопросы, реально ли ведется бизнес, и тогда могут быть применены ограничительные меры. То же самое применимо к операциям физических лиц. Понятно, что повседневные бытовые траты банк не интересуют. Но бывают отклонения, когда в день человек совершает множественные переводы с меняющимися контрагентами, которых могут быть и сотни, — это привлекает внимание банков. Банк будет задавать клиенту вопросы, чтобы понять, какая реальная жизненная ситуация стоит за такими операциями. Мы призываем отказаться от совершения необъяснимых операций, и тогда банк продолжит сотрудничество без каких-либо ограничений, блокировок карт.
— Какое поведение клиента, помимо множественных трансакций, может привлечь внимание комплаенса банка?
— Общие критерии не секретны — они опубликованы в нормативных документах Центробанка. При анализе операций граждан ключевые критерии регулятора строятся вокруг необычно большого числа контрагентов: если в сутки количество контрагентов у дропа превышает 20-30 человек, это может привлечь внимание банков. Например, можно столкнуться с ограничениями, если работаете на себя и проводите операции по личной банковской карте с множественными контрагентами без статуса ИП или самозанятого. Понятно, что не к каждому человеку, у которого случилось 30 трансакций в день, будут адресованы вопросы, так как банк в своей работе использует более продвинутые инструменты, чтобы точно адресовать вопросы тем, кто для нас непонятен. В случае юридических лиц с большой вероятностью вопросы у банка рано или поздно возникнут к компании, работа которой связана с наличными. Если у компании значимо меняется характер работы — очень сильно увеличиваются обороты, или возникают платежи, которые не связаны с основным видом деятельности, — это тоже приведет к вопросам со стороны банка. Банк настолько точно определяет, кому задать вопросы, что только в 5% случаев клиент дает исчерпывающие пояснения по непонятным для нас операциям. В остальных случаях это действительно то поведение, которое интересует регулятора. Но даже если у вас нет содержательного ответа для банка и вы понимаете, что занимались чем-то не тем, имеет смысл вступить в диалог с банком, и тогда банк может дать рекомендации, что поменять в своей деятельности, чтобы не столкнуться с блокировкой банковских счетов.
— Если дело все-таки дошло до блокировки, каков порядок действий клиента?
— При получении запроса от банка рекомендуем клиенту предоставлять пояснения по операциям и наладить диалог. Мы ценим, что 80% клиентов действительно меняют свое поведение после полученных рекомендаций. Как известно, регулятор реализовал так называемую платформу «Знай своего клиента», в которой обозначены различные уровни риска. К «красному», высокому уровню риска относятся компании, которые не демонстрируют признаков реального бизнеса. Клиент может оспорить включение в этот список, если представит в специальную межведомственную комиссию документы, которые говорят об обратном. Есть примеры, когда компании успешно это оспаривают. Кстати, компаний с «красным» уровнем риска немного, меньше 1%. Сейчас ситуация с юридическими лицами благодаря комплексным действиям находится в управляемой зоне. Поэтому теневой сектор сейчас ищет инструменты, которые в основном вовлекают физических лиц, обычных граждан в то, чтобы обслуживался теневой поток денежных средств.
О выявлении дропов и криптовалютных операций
— Центральный Банк в начале года уже указал, что нужно усиливать борьбу с дропами и их хозяевами. Какие инструменты и технологии есть у банка, чтобы своевременно выявлять разводных и неразводных дропов? Какой портрет клиента, который становится дропом, можно составить на основе данных банка?
— Дроп — это подставное лицо, карта которого используется для обслуживания теневых потоков. Нельзя передавать свою карту никому! Дроповоды используют и методы социальной инженерии, чтобы завладеть картой. Например, человеку предлагается за вознаграждение передать кому-то свою карту в обмен на кем-то подписанный «документ-гарантию», что всю ответственность за операции по карте несет кто-то другой. Это, конечно, всё не так. Вся ответственность целиком и полностью лежит на владельце карты. Последняя статистика говорит о том, что примерно 60% людей с профилями дропа — это молодые люди до 24 лет, которые гонятся за легким заработком и не оценивают последствий от такой деятельности. В качестве дропов привлекаются и нерезиденты. Важно повышать финансовую грамотность, чтобы люди знали, что ничто не проходит бесследно — не исключены вопросы и со стороны правоохранительных органов. В Сбербанке более 100 млн клиентов га сегодняшний день, и, конечно, без технологий искусственного интеллекта выявления активности дропов не обойтись. Существуют методы, которые позволяют определить, что карта используется, например, для расчетов по нелегальному игорному бизнесу, финансовым пирамидам, нелегальному обороту наркотиков, криптовалюте и, возможно, в целях оплаты террористических актов. В зависимости от того, как выглядит профиль конкретного владельца карты, выстраивается стратегия работы с ним. Если клиент не может объяснить операции с необычно большим количеством людей, которые переводят ему или получают от него деньги, призываем задуматься над возможными последствиями и прекратить такую активность. В этом случае сохраняется возможность в дальнейшем работать с банком без блокировок и без последствий. Сейчас средний срок жизни карты, которая используется для обеспечения теневого оборота, составляет примерно два дня и постоянно снижается. Это уже становится очень неудобно и затратно для организаторов теневых схем, ведь им выгодно использовать карту как можно дольше, чтобы окупить стоимость её приобретения у разводного дропа. Мы подготовили ряд инструментов, которые сократят срок жизни карт любого дропа до нескольких минут.
Мониторинг платежей и определение резидентства
— За последние два года многое изменилось, и эти изменения, наверное, коснулись и комплаенс-процедур. Наверняка до года начала СВО была выстроена некая система взаимодействия с западными организациями, которая так или иначе использовалась в целях комплаенса. Теперь, когда это взаимодействие, вероятно, прервалось, какой выход из ситуации нашел банк?
— Эта система многоуровневая. Есть межгосударственная система взаимодействия. Росфинмониторинг ранее упоминал, что сильно осложнились, а местами прервались контакты, которые позволяли раньше эффективно обмениваться информацией. Перед банками задач межгосударственного уровня взаимодействия не стояло, а вот контрольные системы выстраивались с опорой на собственные разработки. Как видно, задумка полностью себя оправдала — у нас не было зависимости от внешних разработчиков и поставщиков мониторинговых систем. Мы активно развиваем свои собственные инструменты, в том числе с использованием технологий искусственного интеллекта. У нас в Сбербанке накоплен огромный объем данных, но мы, безусловно, используем и все доступные внешние источники информации, в том числе разнообразные коммерческие списки, справочники.
— Некоторые банки сейчас пишут на электронную почту клиентам с просьбой подтвердить или обновить информацию о налоговом резидентстве, которое за последнее время у многих сменилось. Ведет ли Сбербанк такую работу и зачем банку такая информация? Если клиент дает неверные сведения о своем налоговом резидентстве, какие есть инструменты у банка, чтобы получить верные?
— Здесь Сбербанк ничего не изобретает — он следует требованиям закона, который говорит о том, что мы должны собрать определенный объем информации путем опроса клиентов, затем перепроверить эти сведения, используя всю доступную информацию, включая ранее переданную клиентом в банк, и передать сведения в налоговые органы. Налоговый орган опубликовал у себя на сайте информацию для граждан о том, какие могут быть последствия, если человек не раскрывает информацию о налоговом резидентстве в полном объеме.
— Какие данные об активности клиентов банк может использовать для определения резидентства?
— В основном Сбербанк опирается на те сведения, которые о себе сообщил клиент. Эти сведения банк затем и передает налоговым органам в определенном формате отчетности.
— В начале года средства массовой информации писали о том, что Минфин подготовил проект постановления правительства, по которому банки должны будут мониторить резидентство по геолокации клиента, отслеживать, откуда он заходит в онлайн-банк. Известно ли вам о такой инициативе и насколько она может быть рабочей, учитывая, что клиенты зачастую пользуются VPN?
— Совершенно справедливое замечание по поводу VPN. Безусловно, мы видели такую инициативу и считаем, что существуют технические возможности, как скрывать подобную информацию, и такого рода контроль неэффективен.
Что думают в Сбербанке об операциях с криптовалютой
— Считается, что банки очень нелояльно относятся к операциям с криптовалютой. Так ли это?
— Сейчас законодательство не запрещает человеку совершать операции с криптоактивами. Но такие операции всегда привлекают внимание Сбербанка из-за специфики расчетов, предполагающей вовлечение неразводного дропа, и высокого риска отмывания денежных средств. Когда мы направляем запрос клиенту с просьбой пояснить свои операции, то прикладываем памятку, какие документы можно предоставить в зависимости от различных жизненных ситуаций. В случае торговли криптоактивами можно предоставить адрес биржи/обменника, на котором покупали или продавали криптовалюту, скриншот профиля, историю трансакций. Если эти пояснения предоставляются, вопросы у банка снимаются. Если же речь идет о криптообменнике, который привлекает разводных дропов, создает теневую расчетную инфраструктуру, то такая деятельность относится к высокорисковой, и все такие операции блокируются.
— Можно ли оценить объем фиатных операций, по которым есть основания полагать, что они связаны с криптоактивностью?
— Здесь имеет смысл обратиться к пилотам и к развитию инструмента, который был предложен Росфинмониторингом — «Прозрачный блокчейн». Этот инструмент преследует несколько целей: с одной стороны — оценивать сами токены, были ли они вовлечены в нелегальную деятельность, с другой — оценивать сопоставимость фиатных и криптовалютных операций. Это не единственный инструмент на рынке, их уже есть некоторое количество, банки в России самостоятельно их развивают. Но здесь есть нюанс. Есть операции, которые верифицированы как связанные с криптоактивами, а есть те, где к такому выводу можно прийти только аналитическим путем. Поэтому дать четкую количественную оценку объему таких операций на сегодня очень сложно.
— Но их стало меньше или больше за последнее время?
— Мы видим, что по сравнению с прошлым годом объем теневого потока кратно снизился.
— Весной стало известно, что Росфинмониторинг и Центральный Банк тестируют новую платформу под названием «Знай своего криптоклиента», которая должна помочь банкам определять связи между фиатными и нефиатными операциями. Участвует ли Сбербанк в пилоте этой платформы и можно ли уже сделать первые выводы?
— Второй этап пилота платформы завершен, Сбербанк — активный участник этого проекта. Мы понимаем, что предложенный инструмент действительно дает возможность для того, чтобы верифицировать используемые токены в операциях, а это создает хорошую основу для того, чтобы в расчетах не использовались инструменты, связанные с нелегальной деятельностью в дальнейших расчетах. Дает он возможность и для сопоставления операций в фиате и криптовалютах. Безусловно, любой инструмент аналитики в этой области требует развития и встраивания в текущие процедуры Сбербанка — такая работа ведется.
«Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов по типу Dark Money для Black Hat Seo web-мастеров и трейдеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей процессинга Восточной Европы, и именно сюда последние годы приводят электронные следы громких международных атак на банковские сайты, криптовалютные мосты и биржи, платёжные системы и DDoS-атак на сайты российских госучреждений и крупных частных компаний. Несколько российских трейдеров, владельцев BitCoin-обменных пунктов и операторов нелегального майнинга криптовалюты после облав в России нашли здесь своё новое убежище.
«Трейдеры всех мастей и операторы нелегального майнинга криптовалют с самого начала своего существования тяготели к Одессе, — говорит Константин Корсун, 47-летний полковник, экс-офицер подразделения по борьбе с киберпреступностью Службы безопасности Украины (СБУ). – Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционными» криминальными авторитетами. А может, им [трейдерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Давайте по внимательнее посмотрим, кто из проверенных реальных трейдеров как и почему оказался в Одессе.
Трейдеров из CarberP выловили далеко не всех, хотя они и до последнего присутствовали на площадке Dark Money …
«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны», — вспоминает криминалист Group-IB Артём Артёмов операцию по задержанию в Москве одного из лидеров группы процессинга CarberP. От ее действий пострадали клиенты более 100 банков по всему миру, только за три первых месяца прошлого года трейдеры перевели на банковские счета и карты и обналичили минимум 130 млн рублей.
Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД России «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта прошлого года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»
Под ником GizmoSB скрывался член той самой группы трейдеров CarberP — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети (Botnet)— парка компьютеров, с загруженной программой нелегального майнинга и управления банковскими счетами пользователей в сети. Всю техническую работу за GizmoSB выполняли другие люди — вирусописатели, программисты, но именно GizmoSB передавал трейдерам процессинга реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги с банковского счёта. Руководителями группы дропов (группы обнала) в CarberP были братья Александр и Николай Покорские.
Их отец имел отношение к ГРУ Генштаба РФ
Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а форумы в DarkWeb, где он искал реальных людей, занимающихся процессингом крипты, включая процессинг фиата на карты и счета. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток трафика… очень большое количество трафика … 50-100 к в день», — писал GizmoSB в сентябре прошлого года.
В тот год и была создана площадка процессинга CarberP, состоявшая минимум из 8 трейдеров, которые за четыре года совершили тысячи нелегальных операций, включая процессинг на карты и счета с последующим обналом по всей России. Для комфортной работы неразводных дропов руководители группы открыли офис, замаскированный под сервис по восстановлению данных.
В марте прошлого года начались аресты — были задержаны восемь членов CarberP, в том числе и GizmoSB, но позже его отпустили под подписку о невыезде. Трейдер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал себе другие документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас GizmoSB находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.
Кавказский пленник
Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула — неназванный компьютерщик из Москвы провел четверо суток в «чеченском плену». Из Одессы его под охраной перевезли в Херсон, потом — в Симферополь и вернули назад в Одессу. От пленника требовалось развернуть бот-сеть (Botnet) для организации процессинга крипты или фиата на карты и счета в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.
«В Москве GizmoSB и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил площадкой процессинга второй ветки группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он сбежал, его как тимлида площадки процессинга вычислили чеченцы. Пленнику горцев удалось сделать звонок — и местные полицейские его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине.
Чеченцы знали, кто поможет им заработать в обнале. В России Алексей «Pioneer» руководил трейдерами одного из подразделений площадки процессинга CarberP. После того как в марте прошлого года ФСБ, МВД и детективы киберагентства Group-IB разгромили CarberP, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.
«Всегда удобно прятаться за трансграничностью — сливать деньги на карты в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Руководство неразводными дропами и трейдерами с территории сопределной Украины продолжается. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы. Так, недавно эксперт по безопасности компании Cisco Systems Алексей Лукацкий обнаружил крупную бот-сеть внутри ПриватБанка».
с Дерибасовской выдачи нет
«Столицей трейдеров и тимлидов процессинга Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил недавно глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской обнальной мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов. Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время евромайдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайты politikym.net, ura-inform.com, progorod.info, crime.in.ua.
Среди других местных интересных персонажей — Абдулла, владелец одного из самых дорогих и надежных хостингов, которыми пользуются тимлиды процессинга и операторы нелегального майнинга, трейдеры, спамеры или создатели порно-ресурсов. Когда-то он был участником всем известной площадки процессинга RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими реальными трейдерами и тимлидами процессинга. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой…. Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет…».
«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет Голубов, и по тону его письма не понятно, говорит он серьезно или шутит, но в оценках он категоричен: «Процессинговое подполье трейдеров в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».
Проделки амеров
Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и нескольких российских трейдеров процессинга власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржи Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.
В марте прошлого года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно трейдеров процессинга и обнала на Украине. «Эксперты в области банковского сектора говорят, что … украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи Службе Беспеки Украины в поимке тимлидов процессинга, а также усовершенствовать процедуру выдачи подозреваемых в США.
«Времена меняются, и Украина сейчас не самое спокойное место для трейдеров и тимлидов процессинга, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на обнале денег через карты и счета своих украинских дропов. Другое дело, если эти тимлиды процессинга или трейдеры работают исключительно против России».
В Одессе борьбу с трейдерами и тимлидами процессинга, нелегальным майнингом криптовалюты ведёт Управление борьбы с киберпреступностью ГУ МВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть люди, управляющие нелегальным майнингом криптовалюты. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не Восточной Европы», — говорил в интервью украинскому ресурсу «Вести» Выходец, странно, но при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.
После присоединения Крыма к России и войны на юго-востоке Украины сотрудничество российских и украинских спецслужб оказалось заморожено. На фоне этого украинские трейдеры и тимлиды процессинга стали еще активнее атаковать российские государственные сайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты киберпространства Украины.
