Фирмы, зарегистрированные на украинцев, фигурируют в международной схеме кибермошенничества на $275 млн

Две организованные сети колл-центров, маскирующиеся под инвестиционные платформы в сфере криптовалют, суммарно присвоили свыше 275 миллионов долларов. Их деятельность охватывала десятки стран, а ключевые операционные узлы располагались, среди прочего, в Украине, Грузии, Болгарии и на Кипре. Наша редакция получила доступ к массиву внутренней документации объёмом 1,9 терабайта, содержащей детализированные отчёты о расходах, записи телефонных разговоров с пострадавшими и данные о платежах каждого клиента. Утечку предоставил анонимный инсайдер, мотивированный желанием положить конец безнаказанности мошенников.

Сеть №1: A.K. Group — грузинский след

Первая из разоблачённых сетей — это компания под названием A.K. Group, которая, как удалось установить, управляла как минимум тремя офисами в столице Грузии, Тбилиси. С 2022 года эта структура привлекла более 35 миллионов долларов от около 6 тысяч клиентов.

Сеть №2: Транснациональная структура с центром управления в Израиле

Вторая сеть представляла собой гораздо более сложную конфигурацию — она включала аффилированные компании и офисы в Украине, Болгарии и на Кипре. В центре координации, по имеющимся данным, стояла управленческая команда, базирующаяся в Израиле. Хотя формальное название структуры и её конечные владельцы остаются неизвестными, в результате анализа утечки стало очевидно: с 2021 по 2024 год эта сеть обманула как минимум 26 тысяч человек, присвоив около 240 миллионов долларов.

Фото: Главный офис израильско-европейской сети кибермошенников может располагаться в небоскрёбе Sapphire Tower в городе Рамат-Ган, Израиль

Методика: как заманивали жертв

Механизм обмана был выстроен по классической модели «social engineering». Жертв находили через рекламу в социальных сетях и мессенджерах, предлагая высокую доходность от инвестиций в криптовалюту или ценные бумаги. После установления доверительных отношений «брокеры» уговаривали жертву установить на устройство программное обеспечение для удалённого доступа — фактически передавая полный контроль над счетами.

Итогом таких операций становились финансовые потери, нередко сопровождаемые долговыми обязательствами. В ряде случаев пострадавшие даже брали кредиты, чтобы увеличить свои вложения — по совету тех же «консультантов».

Украинский эпизод: аренда офисов у семьи народного депутата

По данным журналистского расследования, один из офисов второй мошеннической сети располагался в Киеве и функционировал как минимум до начала 2022 года. Здесь, предположительно, сотрудники колл-центра связывались с потенциальными жертвами по всему миру.

Жертвами мошенничества стали люди из более чем 30 стран, включая Канаду, Испанию, Австралию, Великобританию и Южную Африку.

После начала полномасштабного вторжения России в Украину часть сотрудников, как следует из документов утечки, была переведена в Северную Македонию, где вскоре также открылся временный офис — впоследствии перенесённый в Болгарию. Является ли Киев до сих пор частью цепочки — остаётся неизвестным.

Компании на подставных лицах

Масштаб аферы невозможен был бы без использования десятков фиктивных компаний. В Украине мошенники нанимали обычных граждан — зачастую студентов или работников сферы обслуживания — для регистрации юридических лиц. За минимальное вознаграждение те соглашались подписывать документы и открывать счета, не подозревая о масштабах и характере деятельности.

Одной из таких компаний стала «Эстелла Юкрейн», записанная на имя 23-летней жительницы Киева, которая, по её словам, не знала о связи с мошеннической схемой. Она утверждает, что просто выполняла просьбу знакомого — зарегистрировать компанию и периодически ставить подписи.

Фото: Счёт-фактура на оплату услуг веб-хостинга на сумму $3,000, полученная «Эстелла Юкрейн» от подрядчика в Гонконге в 2024 году

По данным утечки, в 2024 году компания «Эстелла Юкрейн» всё ещё взаимодействовала с так называемыми «брендами», связанными с израильско-европейской сетью. В частности, компания продолжала оплачивать маркетинговые услуги. Кроме того, в 2022 году «Эстелла Юкрейн» арендовала помещение у Людмилы Кравчук, супруги народного депутата Украины Антона Яценко.

Яценко — депутат четырёх созывов парламента, последний раз избран в 2019 году. В 2018 году журналисты Bihus.Info указывали на его связи с компаниями-посредниками в сфере оценки недвижимости, которые в совокупности могли зарабатывать до 183 миллионов гривен в год. В 2019 году Антимонопольный комитет обнаружил признаки сговора и наложил штраф на эти компании. Впоследствии Верховная Рада ликвидировала так называемые «площадки Яценко». Сам депутат отрицает свою причастность к этим структурам.

Фото: Народный депутат Антон Яценко

По информации, полученной в ходе расследования, речь идёт, вероятно, о бизнес-центре на улице Сечевых Стрельцов в Киеве. Именно этот адрес упоминается в чеках на оплату услуг такси сотрудниками сети в 2021 и 2022 годах.

Фото: Бизнес-центр в Киеве по улице Сечевых Стрельцов, где арендовала офис компания «Эстелла Юкрейн», предположительно связанная с международным кибермошенничеством

В письменном ответе на запрос журналистов, депутат Антон Яценко отметил, что его супруга «против работы с колл-центрами» и «проверяет арендаторов». Однако, если компания не имела явных признаков колл-центра, договор аренды мог быть подписан. Сама Людмила Кравчук в телефонном разговоре сообщила, что не помнит всех деталей соглашения с «Эстелла Юкрейн», сославшись на пункт о конфиденциальности в договоре.

«Каждый договор у меня имеет раздел «конфиденциальность». И любую информацию я могу предоставлять только по запросу правоохранительных или налоговых органов», — заявила Кравчук.

Журналисты OCCRP и нашего издания также посетили упомянутый бизнес-центр. По словам охранника, компания «Эстелла Юкрейн» там больше не присутствует. Письменные запросы по электронной почте и звонки по зарегистрированному номеру остались без ответа.

Несмотря на то что внимание к киберпреступной деятельности израильско-европейской сети в 2022–2023 годах усилилось, имеющиеся данные свидетельствуют: ряд компаний, предположительно вовлечённых в мошеннические схемы, продолжали функционировать и в 2024 году.

Среди них — украинская компания «Эстелла Юкрейн». Журналисты нашли в веб-архиве объявления компании о наборе сотрудников. Вакансия предлагала оплату от 1000 до 1500 долларов за «лёгкую работу с путешествиями в страны ЕС и ежедневными выплатами» в обмен на подписание документов от имени испанской фирмы Besonicke SL, которая также упоминается в утечке данных как связанная с кибермошеннической деятельностью.

Фото: Объявление о вакансии от «Эстелла Юкрейн», которое журналисты отыскали в веб-архиве

История Дарьи Резник

Киберсеть использовала и других украинцев, предположительно в качестве номинальных владельцев. Среди них — Дарья Резник, жительница Днепропетровской области, умершая от инфаркта в 2023 году. Её историю журналистам пересказала мать — Ольга.

По её словам, в 2021 году Дарья, которой тогда было 28 лет, приехала в Киев на лечение и завела новых знакомых. Эти люди, как утверждает мать, забрали у неё телефон и документы. Через неделю ей якобы вернули только паспорт. Кто были эти люди — неизвестно. Однако в том же году на имя Дарьи была зарегистрирована компания «ЕМ Девелоп», фигурирующая в утечке OCCRP как часть мошеннической инфраструктуры.

Ольга утверждает, что её дочь не имела отношения к бизнесу. Тем не менее журналистам удалось установить, что даже после смерти Дарьи в 2023 году компания «ЕМ Девелоп» продолжала действовать.

Фото: Счет-фактура за услуги по маркетингу на 2,000 долларов, который выставили компании «ЕМ Девелоп»

Согласно документам из утечки, в 2024 году «ЕМ Девелоп» (под брендом Opulent Allies) оплачивала услуги маркетинговых агентств, аффилированных с израильско-европейской киберсетью.

Механизмы вовлечения жертв

Журналисты установили, что методы привлечения жертв у двух разоблачённых сетей были схожи. Клиентам предлагались услуги якобы авторизованных трейдеров. В действительности — подделки, иногда замаскированные под известные бренды.

Так, жительница Швеции, потерявшая более 15 000 долларов, рассказала, что мошенники представлялись представителями «бренда» Golden Currencies. Регулятор Великобритании позднее внёс его в список компаний-клонов, выдающих себя за Currencies Direct Financial Markets Limited.

Фото: «Гарантийное письмо», которое Golden Currencies направляло вкладчикам с заверениями в безопасности и надежности инвестиций

Мошенники не только подделывали компании, но и использовали имена и изображения знаменитостей для продвижения фейковых платформ. В рекламе нередко фигурировали Илон Маск, испанский телеведущий Пабло Мотос, бывший президент Финляндии Саули Ниинистё и бывший премьер-министр Санна Марин.

Фото: Объявление с изображением Илона Маска, которое распространялось по соцсетям, продвигая инвестиции в мошеннические криптосхемы

По словам представителей Ниинистё, они осведомлены о проблеме и передали информацию полиции. Санна Марин в комментарии отметила, что её имя и фото использовались без согласия.

Финляндия: личная трагедия на фоне глобальной схемы

Финский пенсионер, 72-летний учёный Хельмер Сьёдергорд, стал жертвой схемы, где ему продемонстрировали поддельные гарантии, якобы от лица Ниинистё и Марин. Он установил на свой компьютер программу удалённого доступа, после чего мошенники завладели его счетами и похитили сбережения, предназначенные для его шестерых детей.

«Весь мой мир разрушился», — заявил он журналистам финской газеты Yle, партнёру OCCRP.

Фото: 72-летний финский учёный на пенсии Хельмер Сьодергорд общается с журналистами финской газеты Yle

Сьёдергорд пережил тяжёлую депрессию, однако, по его словам, благодаря поддержке семьи начал восстанавливаться.

Он подал заявление в полицию Финляндии, однако расследование вскоре закрыли, сославшись на невозможность установить личность преступников.

Технологии под контролем преступников

Как показало расследование, типичная схема начиналась с установки программы Anydesk — софта для удалённого доступа. Работники колл-центров убеждали клиентов, что это поможет совершать транзакции. После установки на устройствах запускались фальшивые интерфейсы с «прибылью» — в реальности деньги уже были переведены на счета, контролируемые мошенниками.

Фото: Это — вид рабочего стола кибермошенника. Слева — система управления взаимоотношениями с клиентами. Посередине — VoIP-приложение, с помощью которого сотрудники колл-центра осуществляют звонки. Справа — рабочий стол «жертвы», к которому мошенники получили удаленный доступ

Журналисты проекта поговорили более чем со 100 жертвами. Многие из них признались, что потеряли всё: собственные сбережения, средства, занятые у родственников, а иногда и кредиты. В ряде случаев мошенники убеждали внести ещё одну сумму, обещая вернуть вложения и якобы начисленную прибыль после «последней транзакции».

Международные усилия против киберпреступлений

По словам Юргена Штока, бывшего генерального секретаря Интерпола, кибермошенничество приносит до 500 миллиардов долларов в год.

«Ноутбук сегодня — это самый острый меч в арсенале преступных группировок», — отметил он в интервью OCCRP.

В 2024 году Интерпол задержал более 5000 подозреваемых и конфисковал более 400 миллионов долларов, полученных, вероятно, преступным путём. Операция охватила 40 стран.

Фото: Работники офиса Интерпола в Нигерии во время задержания предполагаемого кибермошенника в рамках международной спецоперации правоохранителей

Журналисты OCCRP и нашего издания направили запросы украинским правоохранителям о расследовании деятельности «Эстелла Юкрейн» и «ЕМ Девелоп». На момент публикации ответа не поступило.

Стоит отметить, что Украина уже фигурировала в подобных делах. В 2020 году OCCRP опубликовал расследование о Milton Group — криптосети, действовавшей из Киева и собравшей более 67 миллионов долларов в 2019 году. Тогда дело против компании было закрыто.

В 2023 году в Верховной Раде была создана временная следственная комиссия по расследованию мошеннических колл-центров. Через полгода комиссия доложила о 179 расследуемых делах, однако предложенные изменения в Уголовный кодекс приняты не были. Сейчас комиссия не функционирует, а её глава Александр Куницкий и член Артём Дмитрук находятся за границей. Дмитрук при этом объявлен в международный розыск.

Заключение

Международное расследование выявило масштабную сеть кибермошенничества, действующую с 2021 года. За инвестиционными предложениями в криптовалюту скрывались транснациональные преступные схемы, охватывающие десятки стран. Одним из ключевых хабов стала Украина, где регистрировались фиктивные компании — часто на подставных или неосведомлённых лиц.

Компании вроде «Эстелла Юкрейн» и «ЕМ Девелоп» продолжали работать даже после смерти формальных владельцев. Мошенники активно использовали образы знаменитостей, поддельные бренды и программы удалённого доступа, чтобы выманивать деньги у тысяч людей по всему миру.

Несмотря на масштабы аферы, действия правоохранительных органов остаются фрагментарными. Расследования закрываются, законодательные инициативы не принимаются, а организаторы схем остаются безнаказанными.

Эта история подчёркивает необходимость скоординиренных международных усилий, обновления законодательства и системного подхода к борьбе с цифровыми финансовыми преступлениями.

Читайте также новые расследования редакции:

Максим Викторович Шкиль, украинский предприниматель, замешанный в коррупционных связях