Хакер из Кингисеппа пробил брешь в интернет-торговле ж/д билетами и задел интересы сына главы РЖД Якунина. В группу входили десятки парней, ущерб измеряется в сотнях миллионах, география – до Камчатки. Редкое it-мошенничество объединили в преступное сообщество.
На прошлой неделе Управление на транспорте ГУ МВД по Северо-Западному Федеральному округу, наконец, сообщило о 25-летнем хакере Максиме Матюшеве, уроженце Кингисеппа. Арестовали его и предъявили ему обвинение по мошенничеству в сфере компьютерной технологии еще в октябре этого года.
Жителю Ленобласти инкриминируется 6 успешных эпизодов изъятия денег в особо крупном размере со счетов туроператоров, продающих ж/д билеты. Сейчас дело объединили с аналогичным московским. Многостраничные папки убыли в столицу. Там следствие подозревает парня еще в 6 аналогичных поступках.
Абсолютным прецедентом является еще и то, что десятки эпизодов и десятки фигурантов объединены в преступное сообщество.
Сегодня из его лидеров установлены, помимо Матюшина, еще четверо. Всем от 21 до 28. Один из них - 28-летний житель Москвы Роман Михайлов также арестован. Ему, кстати, следствие назначило психиатрическую экспертизу. Но особо интересен 24-летний житель Астрахани Ярослав Сумбаев. Его считают мозгом компании. Теперь его ищут за границей. Следователи подчеркивают, что география мошенничества определяется всей территорией РФ, а участники рынка исчисляют ущерб десятками и, возможно, сотнями миллионов рублей.
Вводная
РЖД продает билеты тремя способами. Частным лицам напрямую в кассе или через свой сайт, а юрлицам через единственного агента - систему ufs-online, принадлежащую московскому ООО "Универсальная финансовая система" ("УФС").
Компания "УФС" – технологический партнер РЖД, который оперирует специальной платформой по бронированию билетов. Эта платформа – единственный онлайн-сервис в России, который имеет доступ к электронной базе РЖД, контролирующей продажу всех билетов на поезда дальнего следования. УФС обеспечивает интеграцию с системой АСУ "Экспресс-3" ОАО "РЖД". Всем агентствам, работающим как в офлайне, так и в интернете (например, крупнейшим - ozon.travel и tutu.ru), чтобы начать продажу билетов на поезда, нужно подключаться к УФС. Всего платформу используют около 5 тысяч тревел-агентств, - заявляет на сайте компании ее гендиректор Дмитрий Ветчинка. Согласно данным СПАРК-Интерфакс, чистая прибыль компании за 2013 год составила 193 миллиона рублей. Единственным владельцем компании является оффшорная "АМ ЭБУКЕРС ЛИМИТЕД", зарегистрированная на Кипре.
Доступ к системе тысячам туркомпаний предоставляют крупные оптовики брони. Например, "Портбилет" и ""Транспортная Клиринговая Палата". Они закупают бронь у УФС и подключают к системе субагентов-туроператоров, которые в свою очередь выписывают электронные билеты гражданам, физически приходящим в офисы туркомпаний. УФС получает 60–100 рублей с билета, проданного через субагента. За девять месяцев 2014 года было продано 6 млн билетов, сообщается в октябрьском пресс-релизе компании. Всего же, по некоторым данным, на УФС приходится около 18% от всех электронных продаж РЖД. Сервисный сбор, который взимает УФС, зависит от цены билета и составляет в среднем 350 руб. Таким образом, с января по сентябрь УФС могла получить более 2 миллиардов рублей выручки, рассказали участники рынка.
Опрошенные 47news туроператоры уверяют, что компания УФС имеет непосредственное отношение к старшему сыну главы ОАО "РЖД" Андрею Якунину. Также версию семейственности в околожелезнодорожных темах отстаивал известный блогер Алексей Навальный.
Схема
На почтовый ящик туроператора приходит письмо с, якобы, деловым предложением. В письмо встроены интерактивные компоненты (динамические либо статичные картинки, "рюши", узоры и прочее веселье). Пользователь, например, секретарша, из любопытства реагирует на них нажатием мышки. Тем самым активируя микровирус типа "keyloger". Это программа, которая записывает все, что набрано на клавиатуре при пользовании компьютером.
Вирус может быть написан таким образом, что сканирует только символы, набранные в полях "логин", "пароль". Отправка данных происходит не через почту пользователя, а посредством мини-почтового клиента в составе вируса. Для этого требуется лишь наличие подключения к интернету.
Атака
направлена на получение доступа к личным кабинетам сотрудников агентства в системе "УФС", из которого осуществляется бронирование билетов сотрудниками. Известны случаи иного взлома, - через подбор пароля и логина с помощью специальных программ, а также через взлом серверов туроператоров. Сейчас известно, что обвиняемые действовали с ip-адресов зарубежных стран. Например, Колумбии и Прибалтики.
Получив логин и пароль, злоумышленники заходили в личный кабинет и покупали электронные ж/д билеты. Поскольку туроператоры работают с РЖД по принципу полной предоплаты, деньги сразу списывались со счета фирмы в пользу железнодорожников. Никаких сантиментов по отношению к коммерсантам хакеры не испытывали. Как выразились собеседники в транспортной полиции, "выгребали все подчистую, хоть 30 тысяч у мелкой фирмочки, хоть пару миллионов у крупных туроператоров". Для экономии времени хакеры выбирали самые "жирные" билеты. Самым частым вариантом был люкс "Москва-Владивосток". На момент подготовки публикации его стоимость составляла 38 615 рублей.
Билеты оформлялись на паспортные данные реальных людей. Чаще всего это были студенты, которых находили через соцсети. Их определение в иерархии звучит лаконично: "drop".
На арго интернет-жуликов это значит "ведомый". Также распространено слово "mule", что в переводе "осел". Есть и разновидности дропов, например, "сознательный дропчик", то есть тот, кто в курсе сомнительной схемы. Люди, дающие дропам задание, логичным образом именуются "дроповодами".
Дроп-студенты
Неправомерные по сути, но технически верные покупки билетов чаще всего осуществлялись ночью или в выходные и праздничные дни, когда вероятность оперативного реагирования жертвы снижается. На утро, после покупки дроповод скидывал дропу данные оформленного на него билета и тот сдавал билет в кассе возврата. Были варианты, когда дроп передумывал ехать и через 10 минут после покупки. Причем аферосистема работала размашисто.
Например, билет мог быть куплен в Москве, а сдан в Саратове или Красноярске. За работу дроп получал от фиксированных пары тысяч до 10% стоимости билета. Дроповод-организатор получал деньги посредством банковского перевода, либо через электронные кошельки. Для того, чтобы понять объем обналиченных средств, следствие сейчас ждет ответов о транзакциях от нескольких кредитных учреждений. Среди них ОАО "АКБ Авангард", ОАО "Бинбанк", ОАО АКБ "Росбанк", Северо-Западного банка ОАО "Сбербанк России", ЗАО "Связной Банк" и от ООО НКО "Яндекс-Деньги".
На данный момент полиция разыскивает 25 дропов из разных регионов РФ, участие которых в схеме обналичивания билетов установлено. Интересно, что среди них две девушки. Как нам пояснили в полиции, виновность дропа доказывать сложно, поскольку он может действительно использоваться втемную. Этот тезис доказывает отсутствие в информационном поле сообщений о возбуждение уголовных дел в отношении дропов.
Так, 25 июня 2014 года транспортная полиция по Центральному федеральному округу задержала двух студентов из Чувашии, которые пытались сдать билеты на Ярославском вокзале Москвы. Случай единичный и произошел благодаря реакции туроператора, у которого накануне были куплены билеты на 837 тысяч рублей и медлительности дропов.
География
По словам собеседников в правоохранительных органах, группа ж/д-аферистов стала действовать примерно полтора года назад. 47news стали известны эпизоды, фигурирующие в деле Северо-Западной транспортной полиции.
Первым обратился в органы директор ООО "Авиа Лайнс" Владимир Востров. Его компания продает авиа и ж/д билеты в трех офисах в Петербурге. По данным игроков рынка, со счетов его компании было списано около 4 миллионов рублей. Заявление в полицию поступило в конце 2013 года. От общения с 47news бизнесмен отказался, передав телефон своей супруге Ольге.
Та рассказала корреспонденту, что уже пожалела об обращении за помощью в органы. "Воруют и по сей день. Мы регулярно получаем сведения об этом. Никакого толка нет. Мы сейчас перед праздниками на всякий случай обнулили счет", - эмоционально поделилась Ольга. В заключение разговора бизнес-леди выразила категоричное мнение и попросила журналиста выделить его: "Мошенничество можно извести на корню, только если законодательно закрепить простую норму — билеты должны сдаваться только по месту приобретения, то есть в агентстве, где они были оформлены".
Следующим пострадавшим в деле фигурирует ОАО "Приморское агентство авиационных компаний", работающее во Владивостоке. В период с 4 по 13 мая 2014 года хакеры "помогли" компании продать 143 билета на сумму 1 миллион 526 тысяч рублей. Билеты были обналичены на Московском, Ладожском, Финляндском и Витебском вокзалах Петербурга.
С 19 по 20 марта не повезло петербургскому ООО "Старлайнер". Мошенники облегчили счет компании на 985 тысяч рублей. С 12 по 18 апреля атаке подверглось ООО "Трансавиа Сервис" с дислокацией в Петропавловске-Камчатском. Дальневосточники лишились 380 тысяч рублей. С 30 апреля по 1 мая чуть более миллиона рублей ушло со счетов ООО "Центральное Агентство Воздушного Сервиса" в Челябинске. С 29 по 30 мая аферисты виртуально наведались в московское ООО "Мегаполис Группа". Добычей стала 171 тысяча рублей. А с 21 на 22 апреля мошенники повторно обратили внимание на эту же контору и приобрели билетов на 138 тысяч.
По словам владельца компании-оптовика по подключению туроператоров к системе УФС из первой тройки, пострадавших кратно больше. "По данным нашей службы безопасности, на данный момент речь идет о 170 туроператорах по России. Ущерб примерно 60 миллионов рублей. Но, мы предполагаем, что пострадавших значительно больше, поскольку многие фирмы за помощью в полицию предпочитают не обращаться, поскольку потребители болезненно воспринимают любую негативную информацию о турфирмах. Размер бедствия велик. Например, нам известно, что только по одной московской фирме зафиксировано 44 дропа. Субагентов конечно жалко. Порой деньги на бронь на их счетах кредитные. По итогам они должны в любом случае рассчитываться, а для маленьких в провинции и 20 тысяч деньги", - рассказал бизнесмен. В заключение коммерсант высказал осторожное предположение: "Есть подозрение, что в афере замешаны люди из нашей отрасли" В части имиджа его поддержала вышеупомянутая Ольга Вострова: "В нашем бизнесе нет коллег, все очень жестко, поэтому шумиха никому не нужна".
Масштаб
Масштабность мошеннических действий косвенно понятна по активности транспортной полиции в регионах РФ. 47news не официально связался с некоторыми из них. Так, в Управлении на транспорте по Уральскому округу собеседники рассказали, что в данный момент идет доследственная проверка по фактам мошенничества. "Бизнесмены идут вереницей, только за вчерашний день двое написали заявление. Со дня на день будет возбуждено уголовное дело", - поделились полицейские.
В Центральном округе рассказали, что официально информация еще не обнародована, но дали понять, что также занимаются оформлением жалоб. На Дальнем Востоке полицейские подтвердили, что занимаются делом жд мошенников.
В Южном округе на вопросы 47news отвечать отказались. Но, по данным 47news, например, только в Сочи за помощью в полицию обратились 5 туроператоров. В Приволжском, Северо-Кавказском и Сибирском федеральных округах на вопросы 47news ответить затруднились. Но опрошенные редакцией участники рынка утверждают, что следственные, розыскные и прочие действия идут на территории всей России.
Смс-беспечность
Специалисты одной из компаний, предоставляющих доступ туроператорам в систему генерального партнера РДЖ "УФС", поделились с 47news своими соображениями относительно беспечности агентств-жертв. "После поступления информации о первых мошенничествах, мы усилили меры безопасности. Для защиты пользовательских аккаунтов субагентам была предложена система "усиленной авторизации", когда помимо индивидуального логина и пароля для входа в личный кабинет агенты получают на мобильный или электронную почту единоразовый сессионный ключ, который вводится в поле авторизации. Услуга бесплатна, но зачастую субагенты смотрят на это с точки зрения "меня-то пронесет", - рассказали эксперты. И добавили: "Мы также предложили сервис привязки входа в личный кабинет к определенному компьютеру, но на это клиенты идут слабо, поскольку считают, что это ограничит свободу их передвижения, например, в командировках".
Фоно-следствие
Суд Фрунзенского района Петербурга 8 декабря согласилось с ходатайством следователей Управления на транспорте полиции по СЗФО. Арестованному Максиму Матюшеву продлен срок содержания под стражей - до 11 февраля 2015 года. За это время им необходимо прослушать 177 записей телефонных разговоров участников группы, провести 7 фоноскопических и 8 компьютерных экспертиз, изучить компьютеры, изъятые в ходе следствия, получить ответы от банков и линейных отделов РФ, а также найти остальных членов группы и лидера. Главным же мотивом для суда, по всей видимости, стало то, что 25-летний Матюшев 6 ноября 2014 года был приговорен Кингисеппским городским судом к 7 годам неволи за мошенничество с банковскими картами.
О федеральном розыске парня из Кингисеппа с неполным средним образованием и его работе в украинском банке, а также об обстоятельствах задержания читайте на 47news в ближайшее время.
Виктор Смирнов,
47news