Приговор оглашался более недели. На скамье подсудимых оказались 14 человек, включая 32-летнего Юрия Лысенко, который был приговорен к 13 годам колонии. Фигурантов признали виновными по ст. 210 (создание преступного сообщества и участие в нем), ч. 4 ст. 159.6 (мошенничество в сфере компьютерной информации - 4 эпизода), ч. 4 ст. 158 (кража в особо крупном размере - 8 эпизодов) УК РФ.
Группировка хакеров работала с июля 2014 года, следует из 600-страничного обвинительного заключения по делу. Злоумышленники написали вредоносную программу на основе софта, предназначенного для проведения банковских платежных поручений в интернете. Устанавливая программу на арендованные серверы за пределами России, они смогли направлять в банки подложные запросы на реверсивные транзакции - то есть на отмену ранее проведенных операций по снятию и переводу денег.
Хакеры скупали у так называемых кардселлеров банковские карты, оформленные на реальных людей, которые в действительности их не использовали и о деятельности мошенников ничего не знали. На эти карты зачислялись определенные суммы денег, которые впоследствии снимались в банкоматах или переводились. Затем мошенники переписывали с квитанций реквизиты этих операций, с помощью вредоносной программы формировали фальшивые запросы на их отмену и направляли их в банки. Те проводили отмену, баланс карты восстанавливался, при этом снятые наличные оставались у мошенников на руках.
На каждое списание средств с карты приходилось множество запросов на реверсивную транзакцию. Таким образом хакеры многократно "возвращали" на карту снятые деньги. Например, банк "Зенит" они ограбили на 7,3 миллиона рублей, сняв в банкоматах только 22 тысячи рублей, утверждало гособвинение.
106,3 млн рублей было похищено у банка "Траст", 45,1 млн рублей - у банка "Уралсиб" и 39,5 млн рублей - у Промсвязьбанка. Один из эпизодов дела, связанный с хищением у Промсвязьбанка, суд принял решение отправить на доследование.
Лысенко забирал себе 80% похищенного, еще 20% получали соучастники каждой операции, утверждали следователи.
Мошенники пользовались доступом к скомпрометированным POS-терминалам в магазинах и кафе за пределами России - фальшивые запросы на отмену операций отправлялись через эти терминалы, и это выглядело как возврат товара или отказ от услуги, рассказал руководитель лаборатории компьютерной криминалистики Group-IB Виталий Баулин.
Хищения стали возможны благодаря тому, что банки недостаточно тщательно проверяли внутренние операции, отметил он. Так, процессинговые системы не учитывали, что наличные снимались в банкомате на территории России, а запрос на отмену поступал с терминала за рубежом. Через несколько месяцев угрозу заметила платежная система - она стала блокировать реверсивные операции, если запрос на них поступал не с исходного банкомата. Но злоумышленники научились обходить этот блок: они стали сначала переводить деньги на карту другого банка, снимать в банкомате другого банка, а затем отменять операцию перевода.
Сейчас уязвимость закрыта процессинговыми системами - авторизация транзакций включает проверку совпадения точки, где совершена оригинальная операция, и точки запроса на отмену, пояснил Баулин.
Между тем адвокат Лысенко Иван Миронов утверждает, что следствие допустило фальсификации в деле. Бухгалтерская экспертиза, которая была проведена по ходатайству стороны защиты, пришла к выводу, что ущерб от предполагаемого мошенничества был завышен следствием примерно на 900 миллионов рублей - в десять раз. А Лысенко приписали создание программного обеспечения, которое "даже гипотетически существовать не могло и не могло обладать функциональностью, которую придумал следователь Дмитрий Алексашин", сказал Миронов. По его словам, сейчас защита готовит заявления с требованием проверить предполагаемые фальсификации со стороны Алексашина, который к настоящему времени уже уволился из следственных органов.
Адвокаты обратились к производителям исходных программ, из которых Лысенко, по версии гособвинения, сделал мошеннический софт. Те в своих письменных ответах утверждали, что внести в них изменения невозможно. Следов вредоносной программы на технике, изъятой при обысках, следователи не нашли, указывал Миронов.
Кроме того, защита представила в суд двадцать заключений российских специалистов по ИТ-безопасности, которые "исключили саму возможность существования данного механизма хищения, признав версию следствия фантастической", рассказал Миронов. При этом эксперт компании Group-IB Максим Антипов, заключение которого легло в основу версии гособвинения, не был допрошен в процессе под предлогом того, что суд "не смог установить его местонахождение".
Антипов уволился из Group-IB более четырех лет назад и сейчас живет в другом городе, рассказал Баулин. По его словам, бывшие коллеги предоставляли суду его контакты и уведомляли киберкриминалиста о запросе из суда. Он был готов выступить в суде, но попросил оплатить дорогу. "Видимо, такие довольно обычные условия для доставки в Москву эксперта, заключение которого легло в основу обвинения, выполнить не удалось", - добавил Баулин.