Похитившие у банков 1 млрд руб. хакеры получили до 13 лет

Фото: Егор Алеев / ТАСС

Мещанский суд Москвы приговорил к лишению свободы на сроки от пяти лет общего режима до 13 лет строгого хакеров, которые признаны виновными в создании преступного сообщества и хищении около 1 млрд руб. у различных российских банков, — всего 12 человек. Еще двое получили шестилетние условные сроки. Такое решение приняла судья Елена Гудошникова, сообщил РБК Иван Миронов, адвокат Юрия Лысенко, главного обвиняемого по делу.

Гособвинение запрашивало для обвиняемых сроки от 6,5 года общего до 15 лет строгого режима. Прокурор утверждал, что обвиняемые похитили около 883,7 млн руб. у банка «Зенит», 106,3 млн руб. у банка «Траст», 45,1 млн руб. у банка «Уралсиб» и 39,5 млн руб. у Промсвязьбанка. Один из эпизодов дела, связанный с хищением у Промсвязьбанка, суд принял решение отправить на доследование.

Приговор оглашался более недели. Подсудимым во главе с 32-летним Лысенко в зависимости от роли вменяли создание преступного сообщества и участие в нем (ст. 210 УК), а также до четырех эпизодов мошенничества в сфере компьютерной информации (ч. 4 ст. 159.6 УК) и до восьми эпизодов особо крупной кражи (ч. 4 ст. 158 УК).

Как работала схема хищений

Группировка хакеров работала с июля 2014 года, следует из 600-страничного обвинительного заключения по делу. Хакеры написали вредоносную программу на основе софта, предназначенного для проведения банковских платежных поручений в интернете. Устанавливая программу на арендованные серверы за пределами России, они смогли направлять в банки подложные запросы на реверсивные транзакции, то есть на отмену ранее проведенных операций по снятию и переводу денег.

Хакеры скупали у так называемых кардселлеров банковские карты, оформленные на реальных людей, которые в действительности их не использовали и о деятельности мошенников ничего не знали. На эти карты зачислялись небольшие суммы, которые впоследствии снимались в банкоматах или переводились. Затем мошенники переписывали с квитанций реквизиты этих операций, с помощью вредоносной программы формировали фальшивые запросы на их отмену и направляли их в банки. Те проводили отмену, баланс карты восстанавливался, при этом снятые наличные оставались у мошенников на руках.

На каждое списание средств с карты приходилось множество запросов на реверсивную транзакцию. Таким образом хакеры многократно «возвращали» на карту снятые деньги. Например, банк «Зенит» они ограбили на 883 млн руб., сняв в банкоматах только 22 тыс. руб., утверждало гособвинение.

По версии гособвинения, группировка была сложно устроенным преступным сообществом: она представляла собой три «функционально и территориально обособленные группы». ​Контакты членов сообщества между собой Лысенко строго ограничивал в конспиративных целях. Специально для нужд группы Лысенко снял квартиру в Москве — там разместили нужную технику и обменивались информацией. Лысенко забирал себе 80% похищенного, еще 20% получали соучастники каждой операции, утверждало гособвинение.

Схему, которую использовала группировка Лысенко, специалисты называют «АТМ-реверс», рассказал РБК руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин. Он уточнил, что мошенники пользовались доступом к скомпрометированным POS-терминалам в магазинах и кафе за пределами России — фальшивые запросы на отмену операций отправлялись через эти терминалы, и это выглядело как возврат товара или отказ от услуги.

Хищения стали возможны благодаря тому, что банки недостаточно тщательно проверяли внутренние операции, отметил Баулин. Так, процессинговые системы не учитывали, что наличные снимались в банкомате на территории России, а запрос на отмену поступал с терминала за рубежом. ​Через несколько месяцев угрозу заметила платежная система — она стала блокировать реверсивные операции, если запрос на них поступал не с исходного банкомата. Но злоумышленники научились обходить этот блок: они стали сначала переводить деньги на карту другого банка, снимать в банкомате другого банка, а затем отменять операцию перевода.

Сейчас уязвимость закрыта процессинговыми системами — авторизация транзакций включает проверку совпадения точки, где совершена оригинальная операция, и точки запроса на отмену, рассказал Баулин.

Невозможный механизм

Следствие допустило фальсификации в деле, утверждает защищающий Лысенко адвокат Миронов. Лысенко приписали создание программного обеспечения, которое «даже гипотетически существовать не могло и не могло обладать функциональностью, которую придумал следователь Дмитрий Алексашин», заявил Миронов. По его словам, сейчас защита готовит заявления с требованием проверить предполагаемые фальсификации со стороны Алексашина, который уволился из следственных органов.

Адвокаты обратились к производителям исходных программ, из которых Лысенко, по версии гособвинения, сделал мошеннический софт. Те в своих письменных ответах утверждали, что внести в них изменения невозможно. Следов вредоносной программы на технике, изъятой при обысках, следователи не нашли, указывал Миронов.

Кроме того, защита представила в суд 20 заключений российских специалистов по ИТ-безопасности, которые «исключили саму возможность существования данного механизма хищения, признав версию следствия фантастической», рассказал Миронов. При этом эксперт компании Group-IB Максим Антипов, заключение которого легло в основу версии гособвинения, не был допрошен в процессе — суд не смог установить его местонахождение, подчеркнул адвокат.

Антипов уволился из Group-IB более четырех лет назад и сейчас живет в другом городе, рассказал РБК Баулин. По его словам, бывшие коллеги предоставляли суду его контакты и уведомляли киберкриминалиста о запросе из суда. Он был готов выступить в суде, но попросил оплатить дорогу. «Видимо, такие довольно обычные условия для доставки в Москву эксперта, заключение которого легло в основу обвинения, выполнить не удалось», — говорит Баулин.

Бухгалтерская экспертиза, проведенная по ходатайству стороны защиты, пришла к выводу, что ущерб от предполагаемого мошенничества был завышен следствием примерно на 900 млн руб., то есть более чем в десять раз. В банке «Зенит» РБК позднее уточнили, что нанесенный ему ущерб составил только 7,3 млн руб., а не 883,7 млн руб., как утверждало гособвинение. По словам представителей банка, на счету у мошенников в результате незаконных операций было аккумулировано 882,7 млн руб., но основную часть этой суммы своевременно заблокировали и вывести ее хакеры не успели.