Мещанский районный суд Москвы приговорил к лишению свободы на сроки от пяти лет общего до 13 лет строгого режима группировку хакеров, которые признаны виновными в создании преступного сообщества и хищении около 1 миллиарда рублей у российских банков. Еще двое осужденных получили шестилетние условные сроки. Такое решение приняла судья Елена Гудошникова, сообщил РБК адвокат главного обвиняемого по делу Юрия Лысенко Иван Миронов. По версии следователей, злоумышленники использовали вредоносную программу, само существование которой эксперты отрицают.
Приговор оглашался более недели. На скамье подсудимых оказались 14 человек, включая 32-летнего Юрия Лысенко, который был приговорен к 13 годам колонии. Фигурантов признали виновными по ст. 210 (создание преступного сообщества и участие в нем), ч. 4 ст. 159.6 (мошенничество в сфере компьютерной информации - 4 эпизода), ч. 4 ст. 158 (кража в особо крупном размере - 8 эпизодов) УК РФ.
Группировка хакеров работала с июля 2014 года, следует из 600-страничного обвинительного заключения по делу. Злоумышленники написали вредоносную программу на основе софта, предназначенного для проведения банковских платежных поручений в интернете. Устанавливая программу на арендованные серверы за пределами России, они смогли направлять в банки подложные запросы на реверсивные транзакции - то есть на отмену ранее проведенных операций по снятию и переводу денег.
Хакеры скупали у так называемых кардселлеров банковские карты, оформленные на реальных людей, которые в действительности их не использовали и о деятельности мошенников ничего не знали. На эти карты зачислялись определенные суммы денег, которые впоследствии снимались в банкоматах или переводились. Затем мошенники переписывали с квитанций реквизиты этих операций, с помощью вредоносной программы формировали фальшивые запросы на их отмену и направляли их в банки. Те проводили отмену, баланс карты восстанавливался, при этом снятые наличные оставались у мошенников на руках.
На каждое списание средств с карты приходилось множество запросов на реверсивную транзакцию. Таким образом хакеры многократно "возвращали" на карту снятые деньги. Например, банк "Зенит" они ограбили на 7,3 миллиона рублей, сняв в банкоматах только 22 тысячи рублей, утверждало гособвинение.
106,3 млн рублей было похищено у банка "Траст", 45,1 млн рублей - у банка "Уралсиб" и 39,5 млн рублей - у Промсвязьбанка. Один из эпизодов дела, связанный с хищением у Промсвязьбанка, суд принял решение отправить на доследование.
Лысенко забирал себе 80% похищенного, еще 20% получали соучастники каждой операции, утверждали следователи.
Мошенники пользовались доступом к скомпрометированным POS-терминалам в магазинах и кафе за пределами России - фальшивые запросы на отмену операций отправлялись через эти терминалы, и это выглядело как возврат товара или отказ от услуги, рассказал руководитель лаборатории компьютерной криминалистики Group-IB Виталий Баулин.
Хищения стали возможны благодаря тому, что банки недостаточно тщательно проверяли внутренние операции, отметил он. Так, процессинговые системы не учитывали, что наличные снимались в банкомате на территории России, а запрос на отмену поступал с терминала за рубежом. Через несколько месяцев угрозу заметила платежная система - она стала блокировать реверсивные операции, если запрос на них поступал не с исходного банкомата. Но злоумышленники научились обходить этот блок: они стали сначала переводить деньги на карту другого банка, снимать в банкомате другого банка, а затем отменять операцию перевода.
Сейчас уязвимость закрыта процессинговыми системами - авторизация транзакций включает проверку совпадения точки, где совершена оригинальная операция, и точки запроса на отмену, пояснил Баулин.
Между тем адвокат Лысенко Иван Миронов утверждает, что следствие допустило фальсификации в деле. Бухгалтерская экспертиза, которая была проведена по ходатайству стороны защиты, пришла к выводу, что ущерб от предполагаемого мошенничества был завышен следствием примерно на 900 миллионов рублей - в десять раз. А Лысенко приписали создание программного обеспечения, которое "даже гипотетически существовать не могло и не могло обладать функциональностью, которую придумал следователь Дмитрий Алексашин", сказал Миронов. По его словам, сейчас защита готовит заявления с требованием проверить предполагаемые фальсификации со стороны Алексашина, который к настоящему времени уже уволился из следственных органов.
Адвокаты обратились к производителям исходных программ, из которых Лысенко, по версии гособвинения, сделал мошеннический софт. Те в своих письменных ответах утверждали, что внести в них изменения невозможно. Следов вредоносной программы на технике, изъятой при обысках, следователи не нашли, указывал Миронов.
Кроме того, защита представила в суд двадцать заключений российских специалистов по ИТ-безопасности, которые "исключили саму возможность существования данного механизма хищения, признав версию следствия фантастической", рассказал Миронов. При этом эксперт компании Group-IB Максим Антипов, заключение которого легло в основу версии гособвинения, не был допрошен в процессе под предлогом того, что суд "не смог установить его местонахождение".
Антипов уволился из Group-IB более четырех лет назад и сейчас живет в другом городе, рассказал Баулин. По его словам, бывшие коллеги предоставляли суду его контакты и уведомляли киберкриминалиста о запросе из суда. Он был готов выступить в суде, но попросил оплатить дорогу. "Видимо, такие довольно обычные условия для доставки в Москву эксперта, заключение которого легло в основу обвинения, выполнить не удалось", - добавил Баулин.