Старший следователь по особо важным делам Следственного управления УВД по СВАО капитан юстиции Дмитрий КАЛИНИН в 2020 году окончил Московский университет МВД России имени В.Я. Кикотя. Начинал службу в ОМВД Отрадное, через полтора года был переведён в окружное управление. Там поначалу занимался расследованием экономических преступлений, а затем специализировался на дистанционных преступлениях. Сегодня в производстве у капитана юстиции Калинина уникальное уголовное дело, предметом расследования которого являются обстоятельства хищения у более 600 российских граждан денежных средств на общую сумму свыше 200 миллионов рублей посредством разработки вредоносного программного обеспечения, которое устанавливалось злоумышленниками на телефоны потерпевших.

Дмитрий возглавляет следственную группу из 12 сотрудников. Насколько известно, подобного расследования в России ещё не было. Ранее было возбуждено огромное количество уголовных дел по аналогичным преступлениям, проведено множество экспертиз, установлены многие участники сообщества. Также удалось обеспечить задержание основных организаторов преступлений, некоторые из которых находились за границей. Теперь в обобщённом уголовном деле 900 томов. Уже проделана огромная работа. По предварительным сведениям, это самое большое уголовное дело современности по количеству преступлений, объединённых в одно. Из него будет выделено ещё несколько дел в отношении лиц, объявленных в розыск. Подсчёт суммы причинённого материального ущерба не закончен. Следствие продолжается.

ПОДОЗРИТЕЛЬНЫЙ ФАЙЛ

После того как стали известны первые подобные случаи, в мировой прессе были опубликованы многочисленные материалы под названием «NFCGate атакует Россию». Для того чтобы устранить надвинувшуюся опасность кибератаки и раскрыть это преступление, большую работу провели различные организации, связанные с кибербезопасностью России.

А началось всё с того, что граждане стали обращаться в правоохранительные органы с заявлениями о краже денег со счетов каким-то странным способом. Но тогда практически никто не понимал, как устроен этот коварный механизм хищения. Преступления не были раскрыты по причине невозможности установить обвиняемого. В 2024 году в полицию обратилась пенсионерка и заявила, что у неё с карты списали денежные средства: «Я прислонила карту к телефону, и мои деньги исчезли». В одном из ОМВД УВД по СВАО заявление пенсионерки приняли, начали проводить расследование.

— Тогда же и была обнаружена переписка некоего кол-центра, — поясняет Дмитрий Калинин. — В ней содержался подозрительный файл. Он был скопирован и направлен в Лабораторию Касперского. Там нашли следы передвижения данного файла в интернете. Оперативники установили серверы, на которых было огромное количество таких файлов. Содержимое проанализировали и затем стали узнавать, кто же осуществляет вход на эти серверы. Установили IP-адреса компьютеров и мобильных устройств, которые использовались при совершении преступлений, и выяснили 15 адресов, с которых происходило распространение файлов. Были установлены люди, проживающие по этим адресам и использующие вход в интернет. Провели реализацию — комплекс следственных действий: допросы, обыски. Затем была большая реализация в четырёх регионах страны, в качестве силовой поддержки задействовали сотрудников Росгвардии. В ходе обысков были обнаружены технические устройства, различные другие материальные носители, содержащие информацию. Таким образом были установлены лица, причастные к деятельности группы.

РЕШИЛИ КРАСТЬ У СВОИХ

Истоки данного преступления таковы. Неким компьютерным асом был разработан универсальный для всего мира способ хищения денежных средств, который называется NFCGate. Это вредоносное программное обеспечение, позволяющее похищать денежные средства с банковских счетов граждан посредством прикладывания банковской карты с NFC-модулем к мобильному телефону, который также обладает этим модулем. Злоумышленником за основу был взят исходный программный код, разработанный в качестве учебного проекта студентами Технического университета Дармштадта в Германии в 2016 году и впоследствии размещённый в открытых источниках в интернете. Код был видоизменён, по сути от него осталась одна оболочка, всё остальное мошенники разработали под свои нужды. Для начала они приобрели десяток мобильных устройств, установили на них исходный вредоносный программный код, провели тестирование и запустили его в работу по всему миру. Изначально они планировали похищать деньги с банковских счетов граждан стран Европы и Ближнего Востока. Однако в силу того, что программное обеспечение, действующее на территории Российской Федерации, не позволяло совершать хищение заграничных денег, то новоявленные джентльмены киберудачи решили, что будут пиратствовать на российских просторах, то есть воровать у своих — у граждан России.

СТРУКТУРА СООБЩЕСТВА

Само преступное сообщество в своей основе имело четыре обособленных подразделения.

Первое подразделение — кол-центр с задачей обмануть потерпевшего и обеспечить установку на его телефон заражённый файл. Для выбора будущей жертвы кол-центр работал с различными базами данных. Путём обобщения они могли узнать, кто в какие магазины ходит, что заказывает и т. д. И когда представитель кол-центра звонил будущему потерпевшему, он о нём уже имел информацию.

Второе — это программисты (среди них и тот самый умелец, придумавший NFCGate). Они разработали данное вредоносное программное обеспечение и создали программу, которая его размножала. В их же задачу входила аренда виртуальных серверов в интернете для хранения вредоносных программ — это тысячи файлов. В кол-центре копировали эти файлы с виртуальных серверов и отправляли на телефоны потерпевших.

Третье — менеджеры, они исполняли заявки на отдельно взятого потерпевшего. Например, сотрудник кол-центра, общаясь с менеджером, пишет: «Сегодня заказ 300 тысяч Сбер». Это означает, что будущая жертва уже найдена. Теперь нужно найти дропа, который отправится к банкомату и снимет деньги. При этом на его мобильном телефоне также установлено заражённое программное обеспечение, только другого файла.

Четвёртое — это обнальные площадки. Таких групп на территории России несколько. Их задача — обналичить денежные средства потерпевшего. Обнал-центр должен отправить дропа к банкомату забрать деньги. Затем направить его в криптообменник, чтобы он приобрёл на них криптовалюту.

У каждой группы преступного сообщества был свой начальник. Практически все его руководители находились не в России. Когда вовлекали людей, то они друг друга не знали, а вот сами организаторы были друг с другом знакомы. Для усиления конспирации установили правила общения. Например, менеджеры могли общаться только между собой и с обнальной площадкой, а с программистами не могли. С кол-центром общались только организаторы.

КАК ЭТО ДЕЛАЛОСЬ

С будущим потерпевшим работу начинал кол-центр, расположенный за пределами России. Звонили гражданину, представлялись сотрудниками банка, говорили, что произошла утечка информации и необходимо обновить программное обеспечение. Также представлялись сотрудниками правоохранительных органов и различных государственных организаций — всё для того, чтобы всеми способами убедить гражданина в необходимости обновить мобильное приложение.

— В действительности это было внедрение вредоносного программного обеспечения, — уточняет капитан юстиции Калинин. — Сотрудник кол-центра, используя интернет, заходил в свой компьютер, копировал вредоносный файл и отправлял его потерпевшему на телефон. Далее тот нажимал на иконку, которая ему приходила в мессенджере, и происходила установка вредоносной программы на его мобильный телефон. После чего гражданин открывал поступившее мобильное приложение, будучи уверенным, что это приложение банка. Затем его уговаривали обезопасить свои денежные средства посредством перевода их «на безопасный счёт». Гражданину надо было взять свою банковскую карту одного из банков, мобильное приложение которого также было установлено на его телефон, и поднести её к экрану мобильного телефона. В течение десяти секунд один из дропов, который мог находиться в любой точке России у любого банкомата, прикладывал свой мобильный телефон к банкомату. Таким способом через интернет образовывалась связь между заражённым телефоном гражданина и мобильным телефоном дропа. Банкомат же распознавал телефон дропа в качестве мобильного устройства гражданина, который якобы сам снимает деньги.

Любопытная подробность: человека, который придумал и разработал данную схему, многие специалисты называют компьютерным гением. При этом выяснилось, что образование у этого программиста — всего 9 классов. Он вёл асоциальный образ жизни, злоупотреблял спиртным, все заработанные средства тратил на разгульные увлечения.

ОБЩЕРОССИЙСКАЯ ТЕМА

Этот способ совершения преступления с использованием вредоносного программного обеспечения уникальный, аналогов у него нет. В преступное сообщество было вовлечено огромное количество людей. Достаточно сказать, что дропы, например, действовали в 74 регионах России, и из каждого региона были востребованы материалы уголовных дел — в среднем по 5–10 дел. Словом, тема общероссийская.

Проблема хищения денег с помощью приложения NFCGate получила большой резонанс и наделала немало шума. Она даже была озвучена на Международном экономическом форуме в прошлом году. На сегодняшний день задержаны основные организаторы сообщества — это 8 человек, а также установлены личности других активных участников, которые руководили конкретными процессами.

— Сейчас мы проводим изучение возбуждённых в региональных следственных подразделениях дел, для того чтобы дать юридическую оценку по тем эпизодам преступной деятельности. Ситуация является уникальной и в силу объёма документов, и в силу географических особенностей: весьма сложно истребовать материалы из всех регионов подразделением окружного управления столицы — для этого нужно время, налаживание взаимодействия, при этом надо всё успевать делать в установленные сроки. Оригинальность ситуации и в том, что, кроме всего прочего, возбуждено ещё не менее 2400 уголовных дел по части 3 статьи 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). В ходе расследования было выявлено 1500 иных преступлений, — отмечает Дмитрий Калинин.

Александр ДАНИЛКИН,

фото из архива редакции