Финансовые преступления: как их расследуют киберкриминалисты

Иллюстрация: Право.ru/Петр Козлов

По статистике, 78% российских компаний признают, что пострадали от экономических преступлений хотя бы раз за последние три года. С финансовым мошенничеством сегодня может столкнуться любая компания. Это и коррупционные схемы, и недобросовестные заемщики, и ненадежные контрагенты, и корпоративные споры. При этом из-за развития современных технологий способы подобных афер могут быть самыми разными. А их расследование фактически невозможно без анализа устройств, с которых осуществлялись коммуникации, исследования огромных массивов цифровых данных, а зачастую и извлечения или корректного восстановления информации, которую кто-то захочет скрыть. Именно поэтому киберкриминалистика – инструмент обнаружения следов экономических преступлений – становится важной частью финансовых расследований. Мы попросили экспертов Лаборатории компьютерной криминалистики Group-IB, одной из первых в стране, а потому хорошо знакомой многим адвокатам, рассказать о реальном кейсе в их практике. Учитывая то, что компания недавно выделила финансовые расследования в отдельное направление работ.

Подставной нефтетрейдер

История началась год назад, когда к одной компании из Юго-Восточной Азии, занимающейся куплей-продажей нефтепродуктов, обратились якобы представители крупного нефтетрейдера одной из стран СНГ. Они предложили поставлять природные ресурсы по выгодным ценам. Общение у потенциальных контрагентов шло через электронную почту и мессенджеры. Только вот от имени известной организации из СНГ действовали мошенники.

«Обрабатывали» жертву в течение трех месяцев и добились того, чтобы им сделали три авансовых платежа за поставку нефтепродуктов. Преступники для убедительности даже отправили азиатской компании поддельные гарантийные письма якобы от имени генерального директора реально существующей компании. Ее реквизиты были указаны во всех инвойсах, за исключением расчетных счетов. Те на самом деле принадлежали физическим лицам.

Как объясняют специалисты Group-IB, на практике деньги оттуда сразу несколькими переводами идут в другие банки. Операции маскируются под оплату за фейковые услуги. Потом средства пересылают в один из офшорных банков и обналичивают. А все договоры о купле-продаже и транспортный договор оказываются фиктивными.

Но представители иностранной компании в России успели вовремя обратиться за помощью к сотрудникам Group-IB, которые занялись расследованием.

Как расследовали преступление

В Москве с юридическим сопровождением Group-IB возбудили уголовное дело в отношении неустановленных лиц по ст. 159 УК РФ. Потерпевшая сторона – партнер азиатской компании в России.Совместно с департаментом расследований при очередной переписке клиента с мошенниками им оставили ловушку в письме. Речь идет про ссылку на файл, открыв который, злоумышленник деанонимизирует себя. Благодаря этому удалось установить локацию: город Казань.Компьютерные криминалисты полетели в Азию, чтобы собрать информацию из почтового сервера компании жертвы и юридически правильно задокументировать все цифровые доказательства. В рамках уголовного дела следователи получили в банках выписки по всем счетам, которые участвовали в этой схеме.Специалисты по финансовым расследованиям проанализировали движение денег, благодаря чему установили владельцев счетов. Те уже успели обналичить часть средств в российских банкоматах, но другие лежали на счетах иностранных банков. Их удалось заблокировать. Через службу безопасности банков были получены видео с камер наблюдения за банкоматами, на которых видны те, кто снимал деньги.Пошли оперативно-разыскные мероприятия, которые помогли грамотно спланировать специалисты Group-IB. Одновременно прошли обыски и задержания владельцев подставных счетов в Москве, Казани и Уфе и лично мошенника, который вел электронную переписку с жертвой.В результате обысков изъяли цифровую технику (компьютеры, ноутбуки, смартфоны, сим-карты, флеш-накопители) и деньги в разной валюте.Допросив задержанных, удалось установить фигурантов преступной группы, включая ее организаторов.

Все расследование заняло около полугода. Мошенников арестовали и потом привлекли к уголовной ответственности по ст.159 УК. Существенную часть похищенных денег удалось вернуть потерпевшим. При получении доступа к технике мошенников обнаружились и другие их жертвы.

По словам экспертов из Group-IB, за такими схемами обычно стоит группа достаточно профессиональных мошенников. Одни из них специализируются на банковских операциях, что зачастую предполагает наличие «своих людей» в кредитных организациях и обнальщиков-исполнителей. Другие размещают объявления о купле-продаже нефтепродуктов или других товаров. Третьи – профессиональные психологи, которые разводят клиентов, переписываясь по электронной почте или в мессенджерах. Четвертые – придают этому всему легальный статус, подделывая документы и несуществующие контракты.

Конечно, в подобных преступлениях часто участвуют посредники. Мошенники обещают им 2-3% от сделки. Новоявленные дилеры звонят своим знакомым бизнесменам с предложением: «У меня есть надежный поставщик нефтепродуктов, по низким ценам». Посредник иногда даже не подозревает, что «рекламирует».

Почему совершаются подобные преступления?

Схема, с которой столкнулась жертва, достаточно распространенная. Проблема в том, что некоторые банки при перечислении денег на расчетный счет компании не сверяют ее ИНН с указанным в платежном поручении. Злоумышленники регистрируют фирму-однодневку с таким же названием, как у реально действующей компании. А заказчику для платежа присылают реквизиты настоящего контрагента — за исключением расчетного счета, который принадлежит мошенникам.

Проверка контрагента по базам через ИНН убеждает заказчика в реальности компании: у нее миллиардные обороты, есть штат. Единственное, что не совпадает с «честной» фирмой — расчетный счет. Но у крупной компании может быть несколько расчетных счетов и проверить каждый из них на соответствие ИНН невозможно. Если банк этот номер не сверяет, то платеж проходит мошенникам.

Про Group-IB

Group-IB — один из ведущих мировых разработчиков решений для предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети.

С 2003 года работает в сфере компьютерной криминалистики, консалтинга и аудита систем информационной безопасности, обеспечивая защиту крупнейших российских и зарубежных компаний от финансовых и репутационных потерь.

В основе технологического лидерства компании – 17-летний практический опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково». Group-IB — партнер INTERPOL и Europol, поставщик решений в сфере кибербезопасности, рекомендованный ОБСЕ.

Право.ru