Дело о билетах: как хакеры зарабатывали на взломе систем РЖД и S7

Фото: Сергей Коньков / ТАСС

Басманный суд Москвы начал рассматривать дело о создании преступного сообщества, которое заработало 17 млн руб. на фиктивных возвратах билетов РЖД и S7. Всего оно объединяет около 60 эпизодов мошенничества в отношении 31 компании. Членами предполагаемого организованного преступного сообщества были 29 человек, следует из обвинительного заключения, которое зачитала в суде 29 октября прокурор Диана Оганян. События дела относятся к 2013–2014 годам.

Из описанной гособвинением схемы следует, что выгоду от фиктивных возвратов могли получать не только мошенники, но и перевозчики. При этом в деле не утверждается, что у преступников были сообщники в структурах S7 и РЖД.

Это дело вела старший следователь по особо важным делам управления МВД на транспорте по Центральному федеральному округу Евгения Шишкина, застреленная в Подмосковье 10 октября. По данным «Новой газеты», одна из рассматриваемых версий ее убийства связана именно с этим расследованием. Издание упоминало, что в последнем деле Шишкиной шла речь о партнерской структуре РЖД — компании «Универсальная финансовая система» (УФС). «Известия» писали, что подозреваемым в организации убийства Шишкиной является бежавший в Черногорию Ярослав Сумбаев. В обвинительном заключении по делу о мошенничестве с билетами он назван организатором и лидером преступного сообщества.

Дело действительно вела следственная группа под руководством Шишкиной, подтвердил РБК адвокат одного из обвиняемых Николай Аршинов. О проверке Сумбаева или кого-либо из его сообщников на причастность к убийству Шишкиной их защите ничего не известно.

«Хулиган из Питера» и «ТС с огромной репой»

На скамье подсудимых три человека: 29-летний уроженец Кингисеппа Ленинградской области Максим Матюшев, 31-летний Андрей Жданов из Новосибирска и 32-летний москвич Кирилл Кулабухов. Все трое не признают вину.​ У Жданова среднее образование, а Матюшев и Кулабухов окончили по девять классов средней школы и были ранее судимы: один получил пять лет колонии в Красноярске, второй — такой же срок в Кингисеппе.

В 2012 году Матюшев на одном из интернет-форумов, где обсуждались схемы нелегального заработка в Сети, познакомился с Сумбаевым, утверждает следствие. И Сумбаев, и Матюшев тогда были в федеральном розыске по делам о мошенничестве — один, по версии следствия, устанавливал скимминговые устройства на банкоматы в торговых центрах, а второй похищал средства с банковских карт. Общаясь в мессенджере Jabber, они договорились работать вместе, следует из обвинительного заключения.

В результате, по версии следствия, сообщники взломали базы данных ООО «С7 билет» — структуры авиаперевозчика S7, а также компании «Универсальная финансовая система» — партнера РЖД. Так в распоряжении мошенников оказались логины и пароли корпоративных клиентов этих сервисов, и они смогли приобретать билеты на самолеты и поезда за счет множества юрлиц.

Билеты оформлялись на паспортные данные случайных людей, желающих подзаработать. В хакерской терминологии такие подставные лица называются «дропами», говорится в обвинительном заключении. В дальнейшем человек, предоставивший мошенникам свои паспортные данные, шел в кассу вокзала или аэропорта и оформлял возврат билета, получая наличные, которые затем поступали руководителям группы.

Функции «дроповода», то есть координатора группы «дропов», брали на себя Сумбаев и уроженец Саранска по фамилии Святкин, следует из обвинительного заключения. У Матюшева была функция «заливщика» — он внедрялся в базу, анализировал финансовое состояние юрлиц и выявлял те из них, за счет которых можно приобретать билеты. «Дропов» предполагаемые мошенники искали с помощью объявлений на форумах, при этом Матюшев использовал ник «ТС с огромной репой», а Сумбаев — «Хулиган из Питера».

Пять тысяч билетов

Сообщники условились, что 45% дохода достается Сумбаеву, 40% — Матюшеву, считает следствие. Еще 15% предназначались программисту, который сможет разработать софт для более быстрого подбора паролей и сбора идентификационных данных юрлиц (на первых этапах мошенники, по сути, подбирали пароли вручную).

Место убийства Евгении Шишкиной

(Фото: РИА Новости)

Этим как раз и занялся найденный на одном из форумов Кулабухов. За основу он взял легальный софт, предназначенный для удаленного администрирования компьютерных сетей. Затем Кулабухов разослал на электронные адреса юрлиц из баз S7 и РЖД письма с вирусами. Если получатели их открывали, то хакер получал возможность подключиться к корпоративным сетям и иметь доступ к личным кабинетам кассиров. Далее хакеры от имени кассиров заполняли макеты электронных маршрутных квитанций данными «дропов» и проводили платежи.

В дальнейшем группа мошенников за счет вовлеченных в нее «дропов» выросла до двадцати с лишним человек и обзавелась разветвленной структурой с несколькими подразделениями, считает гособвинение. Хакеры действовали в Санкт-Петербурге, Уфе, Новосибирске, Алтайском крае и подмосковном Домодедово. Это позволяет утверждать, что речь идет о преступном сообществе, подчеркнула в суде прокурор Оганян. Некоторые из членов группировки уже осуждены: «дроповод» Святкин получил приговор еще в 2015 году.

Потерпевшими от действий мошенников гособвинение называет 31 компанию, в основном это туроператоры и логистические организации. Сильнее всего пострадали «В.И.П. СЕРВИС», «Интурист-Находка», «Виза конкорд трэвел», Приморское агентство авиационных компаний, «Старлайнер» и «С7 билет». Сумма ущерба в каждом случае составляет от нескольких десятков тысяч до 3,5 млн руб. Всего с июля 2013 по август 2014 года мошенники оформили за чужой счет более 5 тыс. электронных маршрутных квитанций, считает следствие.

УФС не была признана в деле потерпевшей стороной, но она «сотрудничала с транспортной полицией в рамках расследования деятельности кибермошенников», сообщили РБК в пресс-службе компании.

Выгода на возврате

В обвинительном заключении не утверждается, что корпорации получали какую-либо выгоду от схемы с возвратами билетов. Из него также не следует, что у мошенников были сообщники в структурах РЖД или S7. При возврате билета перевозчик, как правило, удерживает таксу и сервисные сборы. У S7 они зависят от тарифа, а у РЖД — от времени, оставшегося до начала поездки, и маршрута.

Как рассказал РБК адвокат Матюшева Николай Аршинов, следствие не спрашивало его подзащитного о возможных подельниках в РЖД или S7. «Конечно, в деле есть допросы сотрудников, которые принимали билеты и выплачивали денежные средства. Но есть правила, по которым перевозчики удерживают комиссию при возврате билета; они в любом случае действуют в соответствии с этими правилами. Понятно, что за билет деньги не возвращались в том же объеме, в каком были уплачены, всегда какой-то процент удерживался», — сказал адвокат.

В УФС отметили, что приняли меры для защиты данных, ввели двухфакторную аутентификацию и средства контроля IP-адреса, что позволило «свести практически на нет случаи взлома систем партнеров компании, своевременно информировать операторов, перевозчика и транспортную полицию о подозрительных действиях, а также помогло задерживать так называемых дропперов».

В пресс-службе РЖД отметили, что утечек персональных данных клиентов РЖД с официального сайта компании не было. «Любая другая форма продажи железнодорожных билетов осуществляется сторонними компаниями и может предусматривать агентский сбор», — отметили в РЖД.

РБК направил запросы в пресс-службу группы компаний S7.