Две организованные сети колл-центров, маскирующиеся под инвестиционные платформы в сфере криптовалют, суммарно присвоили свыше 275 миллионов долларов. Их деятельность охватывала десятки стран, а ключевые операционные узлы располагались, среди прочего, в Украине, Грузии, Болгарии и на Кипре. Наша редакция получила доступ к массиву внутренней документации объёмом 1,9 терабайта, содержащей детализированные отчёты о расходах, записи телефонных разговоров с пострадавшими и данные о платежах каждого клиента. Утечку предоставил анонимный инсайдер, мотивированный желанием положить конец безнаказанности мошенников.
Сеть №1: A.K. Group — грузинский след
Первая из разоблачённых сетей — это компания под названием A.K. Group, которая, как удалось установить, управляла как минимум тремя офисами в столице Грузии, Тбилиси. С 2022 года эта структура привлекла более 35 миллионов долларов от около 6 тысяч клиентов.
Сеть №2: Транснациональная структура с центром управления в Израиле
Вторая сеть представляла собой гораздо более сложную конфигурацию — она включала аффилированные компании и офисы в Украине, Болгарии и на Кипре. В центре координации, по имеющимся данным, стояла управленческая команда, базирующаяся в Израиле. Хотя формальное название структуры и её конечные владельцы остаются неизвестными, в результате анализа утечки стало очевидно: с 2021 по 2024 год эта сеть обманула как минимум 26 тысяч человек, присвоив около 240 миллионов долларов.
Фото: Главный офис израильско-европейской сети кибермошенников может располагаться в небоскрёбе Sapphire Tower в городе Рамат-Ган, Израиль
Методика: как заманивали жертв
Механизм обмана был выстроен по классической модели «social engineering». Жертв находили через рекламу в социальных сетях и мессенджерах, предлагая высокую доходность от инвестиций в криптовалюту или ценные бумаги. После установления доверительных отношений «брокеры» уговаривали жертву установить на устройство программное обеспечение для удалённого доступа — фактически передавая полный контроль над счетами.Итогом таких операций становились финансовые потери, нередко сопровождаемые долговыми обязательствами. В ряде случаев пострадавшие даже брали кредиты, чтобы увеличить свои вложения — по совету тех же «консультантов».
Украинский эпизод: аренда офисов у семьи народного депутата
По данным журналистского расследования, один из офисов второй мошеннической сети располагался в Киеве и функционировал как минимум до начала 2022 года. Здесь, предположительно, сотрудники колл-центра связывались с потенциальными жертвами по всему миру.Жертвами мошенничества стали люди из более чем 30 стран, включая Канаду, Испанию, Австралию, Великобританию и Южную Африку.
После начала полномасштабного вторжения России в Украину часть сотрудников, как следует из документов утечки, была переведена в Северную Македонию, где вскоре также открылся временный офис — впоследствии перенесённый в Болгарию. Является ли Киев до сих пор частью цепочки — остаётся неизвестным.
Компании на подставных лицах
Масштаб аферы невозможен был бы без использования десятков фиктивных компаний. В Украине мошенники нанимали обычных граждан — зачастую студентов или работников сферы обслуживания — для регистрации юридических лиц. За минимальное вознаграждение те соглашались подписывать документы и открывать счета, не подозревая о масштабах и характере деятельности.Одной из таких компаний стала «Эстелла Юкрейн», записанная на имя 23-летней жительницы Киева, которая, по её словам, не знала о связи с мошеннической схемой. Она утверждает, что просто выполняла просьбу знакомого — зарегистрировать компанию и периодически ставить подписи.
Фото: Счёт-фактура на оплату услуг веб-хостинга на сумму $3,000, полученная «Эстелла Юкрейн» от подрядчика в Гонконге в 2024 году
Яценко — депутат четырёх созывов парламента, последний раз избран в 2019 году. В 2018 году журналисты Bihus.Info указывали на его связи с компаниями-посредниками в сфере оценки недвижимости, которые в совокупности могли зарабатывать до 183 миллионов гривен в год. В 2019 году Антимонопольный комитет обнаружил признаки сговора и наложил штраф на эти компании. Впоследствии Верховная Рада ликвидировала так называемые «площадки Яценко». Сам депутат отрицает свою причастность к этим структурам.
Фото: Народный депутат Антон Яценко
Фото: Бизнес-центр в Киеве по улице Сечевых Стрельцов, где арендовала офис компания «Эстелла Юкрейн», предположительно связанная с международным кибермошенничеством
«Каждый договор у меня имеет раздел «конфиденциальность». И любую информацию я могу предоставлять только по запросу правоохранительных или налоговых органов», — заявила Кравчук.Журналисты OCCRP и нашего издания также посетили упомянутый бизнес-центр. По словам охранника, компания «Эстелла Юкрейн» там больше не присутствует. Письменные запросы по электронной почте и звонки по зарегистрированному номеру остались без ответа.
Несмотря на то что внимание к киберпреступной деятельности израильско-европейской сети в 2022–2023 годах усилилось, имеющиеся данные свидетельствуют: ряд компаний, предположительно вовлечённых в мошеннические схемы, продолжали функционировать и в 2024 году.
Среди них — украинская компания «Эстелла Юкрейн». Журналисты нашли в веб-архиве объявления компании о наборе сотрудников. Вакансия предлагала оплату от 1000 до 1500 долларов за «лёгкую работу с путешествиями в страны ЕС и ежедневными выплатами» в обмен на подписание документов от имени испанской фирмы Besonicke SL, которая также упоминается в утечке данных как связанная с кибермошеннической деятельностью.
Фото: Объявление о вакансии от «Эстелла Юкрейн», которое журналисты отыскали в веб-архиве
История Дарьи Резник
Киберсеть использовала и других украинцев, предположительно в качестве номинальных владельцев. Среди них — Дарья Резник, жительница Днепропетровской области, умершая от инфаркта в 2023 году. Её историю журналистам пересказала мать — Ольга.По её словам, в 2021 году Дарья, которой тогда было 28 лет, приехала в Киев на лечение и завела новых знакомых. Эти люди, как утверждает мать, забрали у неё телефон и документы. Через неделю ей якобы вернули только паспорт. Кто были эти люди — неизвестно. Однако в том же году на имя Дарьи была зарегистрирована компания «ЕМ Девелоп», фигурирующая в утечке OCCRP как часть мошеннической инфраструктуры.
Ольга утверждает, что её дочь не имела отношения к бизнесу. Тем не менее журналистам удалось установить, что даже после смерти Дарьи в 2023 году компания «ЕМ Девелоп» продолжала действовать.
Фото: Счет-фактура за услуги по маркетингу на 2,000 долларов, который выставили компании «ЕМ Девелоп»
Механизмы вовлечения жертв
Журналисты установили, что методы привлечения жертв у двух разоблачённых сетей были схожи. Клиентам предлагались услуги якобы авторизованных трейдеров. В действительности — подделки, иногда замаскированные под известные бренды.Так, жительница Швеции, потерявшая более 15 000 долларов, рассказала, что мошенники представлялись представителями «бренда» Golden Currencies. Регулятор Великобритании позднее внёс его в список компаний-клонов, выдающих себя за Currencies Direct Financial Markets Limited.
Фото: «Гарантийное письмо», которое Golden Currencies направляло вкладчикам с заверениями в безопасности и надежности инвестиций
Фото: Объявление с изображением Илона Маска, которое распространялось по соцсетям, продвигая инвестиции в мошеннические криптосхемы
Финляндия: личная трагедия на фоне глобальной схемы
Финский пенсионер, 72-летний учёный Хельмер Сьёдергорд, стал жертвой схемы, где ему продемонстрировали поддельные гарантии, якобы от лица Ниинистё и Марин. Он установил на свой компьютер программу удалённого доступа, после чего мошенники завладели его счетами и похитили сбережения, предназначенные для его шестерых детей.
«Весь мой мир разрушился», — заявил он журналистам финской газеты Yle, партнёру OCCRP.
Фото: 72-летний финский учёный на пенсии Хельмер Сьодергорд общается с журналистами финской газеты Yle
Он подал заявление в полицию Финляндии, однако расследование вскоре закрыли, сославшись на невозможность установить личность преступников.
Технологии под контролем преступников
Как показало расследование, типичная схема начиналась с установки программы Anydesk — софта для удалённого доступа. Работники колл-центров убеждали клиентов, что это поможет совершать транзакции. После установки на устройствах запускались фальшивые интерфейсы с «прибылью» — в реальности деньги уже были переведены на счета, контролируемые мошенниками.
Фото: Это — вид рабочего стола кибермошенника. Слева — система управления взаимоотношениями с клиентами. Посередине — VoIP-приложение, с помощью которого сотрудники колл-центра осуществляют звонки. Справа — рабочий стол «жертвы», к которому мошенники получили удаленный доступ
Международные усилия против киберпреступлений
По словам Юргена Штока, бывшего генерального секретаря Интерпола, кибермошенничество приносит до 500 миллиардов долларов в год.
«Ноутбук сегодня — это самый острый меч в арсенале преступных группировок», — отметил он в интервью OCCRP.В 2024 году Интерпол задержал более 5000 подозреваемых и конфисковал более 400 миллионов долларов, полученных, вероятно, преступным путём. Операция охватила 40 стран.
Фото: Работники офиса Интерпола в Нигерии во время задержания предполагаемого кибермошенника в рамках международной спецоперации правоохранителей
Стоит отметить, что Украина уже фигурировала в подобных делах. В 2020 году OCCRP опубликовал расследование о Milton Group — криптосети, действовавшей из Киева и собравшей более 67 миллионов долларов в 2019 году. Тогда дело против компании было закрыто.
В 2023 году в Верховной Раде была создана временная следственная комиссия по расследованию мошеннических колл-центров. Через полгода комиссия доложила о 179 расследуемых делах, однако предложенные изменения в Уголовный кодекс приняты не были. Сейчас комиссия не функционирует, а её глава Александр Куницкий и член Артём Дмитрук находятся за границей. Дмитрук при этом объявлен в международный розыск.