Międzynarodowy gang cyberprzestępców ukradł z kont bankowych ponad 154 mln zł. Są akty oskarżenia

Lubelski Wydział Zamiejscowy Departamentu do Spraw Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej skierował do Sądu Okręgowego w Lublinie akt oskarżenia przeciwko 18 członkom największej spośród działających na terenie Polski i innych krajów Unii Europejskiej zorganizowanej grupy przestępczej zajmującej się kradzieżami pieniędzy z kont bankowych. Wśród oskarżonych jest trzech kierowników tej grupy.

Gang działał co najmniej od czerwca 2011 roku do kwietnia 2016 roku na terenie Polski, Ukrainy, Rosji, Łotwy, Hiszpanii, Portugalii, Wielkiej Brytanii, Danii, Holandii, Słowacji, Czech, Austrii, Niemiec, Węgier, Bułgarii, Francji, Andory, Czarnogóry i innych krajów europejskich. Jego członkowie kradli  pieniądze z kont bankowych po uprzednim nieupoważnionym przetworzeniu danych informatycznych w systemie bankowości elektronicznej.  Wyłudzone środki przelewali na rachunki bankowe założone wcześniej na terenie Polski i innych krajów europejskich. Z tych kont skradzione pieniądze transferowano na Ukrainę, do Rosji oraz innych krajów.

Gang wielopoziomowy

Pieniądze z rachunków bankowych obywateli różnych krajów wyprowadzane były z użyciem danych uzyskiwanych w wyniku użycia złośliwych programów komputerowych typu TROJAN. Transferowanie korzyści z przestępstwa przebiegało przez Polskę, bądź bezpośrednio z Polski, na Ukrainę, a następnie do Rosji lub na Łotwę. To właśnie za wschodnią granicą Polski przebywały osoby tworzące najwyższy poziom organizacji przestępczej – poziom wytwarzania, modyfikacji i zarządzania szkodliwym oprogramowaniem, do którego trafiało około 60 proc. całości zysków z działalności przestępczej.

Struktura grupy przestępczej składała się z kilku poziomów. Najwyższym z ustalonych był poziom "hakerów" zajmujących się bezpośrednio, technicznie z wykorzystaniem odpowiednio modyfikowanego oprogramowania typu "konie trojańskie", włamaniami na rachunki bankowe. Osoby te przygotowywały oprogramowanie, w celu ataku na klientów określonych banków w różnych krajach. W kodzie oprogramowania złośliwego zaszyfrowywane były numery rachunków założonych przez członków grupy przestępczej, przeznaczonych do transferów pieniędzy. Z ustaleń prokuratury wynika, że ten poziom grupy przestępczej stanowili obywatele państw rosyjskojęzycznych.

Poniżej tego poziomu znajdowały się osoby trudniące się organizowaniem transferów pieniędzy pochodzących z phishingu. Miały one kontakt, co najmniej telefoniczny lub za pośrednictwem poczty elektronicznej, z osobami z poziomu pierwszego. Były to osoby, które pełniły najwyższą rolę w strukturze organizacji na terenie danego kraju. Osobą pełniącą tę funkcję przez niemal cały okres działalności grupy był Dariusz O. Zajmował się on organizacją obsługi zleceń napływających od „hakerów", a w praktyce organizacją sieci członków grupy, którzy mieli za zadanie realizować konkretne zlecenia, tj. zakładania rachunków na prawdziwe dane, przyjmowania na te rachunki środków pochodzących z phishingu oraz przesyłania pieniędzy do hakerów. Osobami najbliżej współpracującymi z Dariuszem O. byli Mariusz P. oraz Mariusz S. Obydwaj oskarżeni przez pewien okres samodzielnie kierowali „oddziałami" grupy przestępczej. Samodzielnie uzyskali oni możliwość bezpośredniego kontaktu z osobami organizującymi ten proceder na terenie Ukrainy i Rosji.

Na kolejnym poziomie struktury grupy przestępczej znajdowały się osoby dysponujące dostępem do rachunków bankowych i zajmujące się rozliczeniami pomiędzy członkami grupy przestępczej oraz mające za zadanie koordynować terminowe wykonywanie zleceń wydawanych przez członków wyższych poziomów. Osoby te pełniły rolę niejako „księgowych". Wykonywali oni polecenia, wydawane przez Dariusza O., Mariusza S. i Mariusza P., w jakim banku i w jakim kraju należy założyć rachunek bankowy oraz kiedy i w jakiej wysokości należy wypłacić środki z rachunków, jak również gdzie należy te środki przetransferować.

Bardzo ważną rolę w grupie pełniły osoby zajmujące się pozyskiwaniem tzw. „słupów", którzy zakładali rachunki bankowe. Osoby te informowano o mechanizmach funkcjonowania procederu oraz zasadach ostrożności w celu uniknięcia odpowiedzialności karnej. Członkowie grupy znajdujący się na tym poziomie struktury organizacji przestępczej pełnili często także rolę kierowców. Wywozili oni "słupów" w różne miejsca, przede wszystkim na terenie Unii Europejskiej, w celu założenia rachunków bankowych. Zajmowali się oni przy tym zakwaterowaniem i wyżywieniem tych osób, a następnie organizacją wypłaty pieniędzy z bankomatów oraz oddziałów banków. Trasy przejazdów przebiegały najczęściej z Polski do Czech, Słowacji, Węgier i Niemiec. Osoby te zajmowały się ponadto rozliczaniem pieniędzy oraz przekazaniem ich osobom stojącym na wyższym poziomie struktury grupy na terenie Polski, bądź organizowały przekazywanie skradzionych środków bezpośrednio na Ukrainę.

Niezależnie od tego szeregowi członkowie grupy zakładali rachunki bankowe również na swoje prawdziwe dane, a następnie wypłacali skradzione środki w oddziałach banków i z bankomatów. Pośród tych osób można zauważyć wyraźne różnice zarówno w stopniu zaangażowania w działania grupy, jak i zaufania ze strony jej kierownictwa. Niektórzy członkowie zakładali wyłącznie prywatne rachunki – na ogół po kilka w kilku różnych bankach, inni zaś, po uprzednim otworzeniu działalności gospodarczej, otwierali rachunki firmowe, na które można było przesłać, bez podejrzeń ze strony pracowników banków, dużo większe kwoty pieniędzy. Osoby takie często zakładały rachunki bankowe poza granicami Polski.

Najniższy szczebel organizacji przestępczej stanowiły „słupy", czyli osoby, które wykorzystywane były wyłącznie do zakładania rachunków bankowych oraz dokonywania wypłat pieniędzy z bankomatów lub oddziałów banków, a także wysyłania pieniędzy na Ukrainę. Najczęściej osoby te były werbowane spośród nałogowych alkoholików.

W grupie przestępczej znajdowały się również osoby odpowiedzialne za egzekwowanie ewentualnego zadłużenia powstałego wskutek niewywiązywania się przez członków grupy ze zleceń, a także za zastraszenie ich w przypadku ewentualnego zagrożenia ujawnienia przez nich przestępczych działań grupy.

Kradli transgranicznie

Grupa ta miała charakter transgraniczny. Osoby pełniące najważniejsze funkcje w jej strukturach i odpowiedzialne bezpośrednio za włamania na konta przebywały na terenie Federacji Rosyjskiej. Osoby zajmujące się organizacją wypłat pieniędzy w większości przebywały na terenie Polski, choć duża liczba uczestników grupy pochodziła z Łotwy, gdzie werbowaniem nowych członków na stałe zajmowało się co najmniej 5 osób. Ofiarami kradzieży natomiast byli przede wszystkim obywatele Unii Europejskiej, choć w kilku przypadkach doszło do włamań na rachunki znajdujące się poza Europą.

Przez pierwsze dwa lata działalności grupy niemal wszystkie kradzieże dokonywane były na szkodę osób mieszkających poza granicami Polski. W olbrzymiej większości byli to obywatele Holandii i Niemiec. Natomiast od grudnia 2013 roku głównym punktem ataku stały się banki znajdujące się na terenie Polski.

Rachunki, na które przelewane były skradzione środki, były zakładane w Polsce, w Austrii, w Niemczech, na Słowacji, na Łotwie, na Węgrzech oraz w kilku innych krajach europejskich. Z wyjaśnień oskarżonych wynika, że podejmowali oni próby zakładania rachunków w jeszcze kilku innych krajach, np. we Francji czy w Andorze.

Przetransferowane pieniądze były wypłacane najczęściej w kraju, w którym założone zostały rachunki. Od chwili, kiedy Dariusz O. zaczął ukrywać się na terenie Danii, część środków była wypłacana także w bankomatach w tym kraju. Następnie pieniądze, po odliczeniu należnej prowizji, były transferowane na Ukrainę. Na Ukrainie działała zorganizowana siatka ludzi, którzy wypłacali pieniądze, a następnie przekazywali je osobiście, bądź transferowali w inny sposób do Rosji.

Jak działali przestępcy

Sposób działania sprawców zwykle był bardzo podobny. Zwerbowani członkowie grupy oraz "słupy" zakładali rachunki bankowe, na ogół po jednym w kilku lub nawet kilkunastu bankach. Przy podpisywaniu umowy o prowadzenie rachunku, podawane były ustalone wcześniej adresy do korespondencji. Często były to adresy pustostanów, bądź przypadkowych osób. W tym ostatnim przypadku członkowie grupy odbierali korespondencję otwierając wytrychami skrzynki na listy. Było to o tyle istotne, że tam właśnie trafiały karty płatnicze, przesyłane przez banki.

Całość dokumentacji była przechwytywana przez członków grupy. W umowie rachunku wskazywany był numer telefonu – podawany przez członków grupy, który miał następnie służyć do komunikacji z pracownikami banku, a także do odbierania wiadomości SMS z kodami do autoryzacji wykonywanych transakcji. Następnie dokumenty, wraz z numerami rachunków oraz loginami i hasłami, które umożliwiały do nich dostęp, a w wielu przypadkach także karty bankomatowe, trafiały do osób zajmujących się wykonywaniem przelewów – najczęściej bezpośrednio do Dariusza O., Mariusza S. bądź Mariusza P. Mając pełen dostęp do rachunków, wymienieni oskarżeni, poprzez stronę internetową banku, zakładali kolejne rachunki, czasami nawet kilkanaście.

Następnie numery rachunków były przekazywane hakerom. Po dokonaniu włamania na konto pokrzywdzonego, hakerzy przelewali pieniądze na określone rachunki, o czym informowali Dariusza O. Wówczas osoby mające dostęp do rachunków „słupów" przelewały pieniądze na inne konta, po czym wydawały polecenia dokonania wypłat, wskazując rachunki oraz kwoty, jakie się na nich znalazły. Wtedy kolejni członkowie grupy osobiście, bądź nadzorując „słupy", dokonywali wypłat w bankomatach, albo – w przypadku większych kwot – w oddziałach banków. Wypłaty w bankach były dokonywane przez właścicieli rachunków. W pozostałych sytuacjach robili to przypadkowo wskazani członkowie grupy.

W przypadku kradzieży dużych sum pieniędzy w przepływ środków zaangażowanych było nawet kilkanaście rachunków bankowych.

Taka sytuacja miała miejsce np. przy kradzieży dokonanej 23 kwietnia 2013 roku, kiedy to na konta członków grupy przestępczej przelana została kwota blisko 400 tysięcy złotych. Skradzione środki trafiły na rachunek prowadzony przez jeden z banków dla założonej wyłącznie w tym celu „firmy słupa". Z tego rachunku środki w całości zostały przetransferowane na 14 innych kont, założonych także przez członków grupy w tym samym banku. Było to o tyle istotne, że przelewy dokonywane pomiędzy rachunkami prowadzonymi w tym samym banku, są realizowane on line, a więc przeksięgowanie środków następuje z chwilą złożenia takiej dyspozycji. Dopiero wtedy środki zostały niemal w całości wypłacone w oddziałach banków na terenie Polski oraz w bankomatach na terenie Polski i Danii.

Dbali o zacieranie śladów

Kierowana przez Dariusza O. grupa przestępcza była nadzwyczaj dobrze zorganizowana. Jej członkowie byli na ogół werbowani spośród osób zaufanych, poleconych, wywodzących się ze środowisk kryminogennych. Osoby te wykazywały szczególną dbałość o bieżące usuwanie dowodów ich działalności przestępczej. Wykorzystane telefony, komputery, a także karty płatnicze były niszczone po realizacji poszczególnych etapów działań. Sprawcy korzystali wyłącznie z telefonów bez abonamentowych, komunikując się między sobą głównie za pomocą komunikatorów internetowych oraz za pomocą poczty elektronicznej, której konta były zakładane na specjalnych rosyjskich serwerach gwarantujących ich użytkownikom pełną anonimowość. Zarówno Dariusz O., jak i Mariusz S. posługiwali się podrobionymi, bądź oryginalnymi, lecz wystawionymi na dane innych osób, dokumentami tożsamości.

W toku śledztwa ujawniono dwa ośrodki, w których zgromadzone były grupy osób narodowości polskiej i łotewskiej, o nisko określonych potrzebach życiowych. Osoby te mieszkały na przedmieściach Warszawy i Kopenhagi i były całkowicie dyspozycyjne na wypadek wydania polecenia dokonywania szybkich wypłat z bankomatów, przy użyciu kart płatniczych dostarczonych przez innych członków grupy przestępczej. W takim wypadku kierowcy rozwozili te osoby w różne dzielnice miast, gdzie miały one dokonywać wypłat w jak najkrótszym czasie. Ilość pieniędzy wypłacanych przez tych ludzi była tak duża, że członkowie grupy zajmujący się rozliczaniem przestępstw, byli wyposażeni w maszyny do liczenia banknotów.

Znikało nawet po kilkaset tysięcy złotych

W toku śledztwa ujawniono prawie 1300 kradzieży pieniędzy z kont bankowych. Z ustaleń poczynionych na podstawie informacji przekazanych przez banki oraz Głównego Inspektora Informacji Finansowej wynika, że członkowie grupy tylko na terenie Polski założyli ponad 2 tysiące rachunków w kilkudziesięciu bankach, przez które przetransferowano pochodzące z kradzieży środki w kwocie co najmniej 154 milionów złotych. Jednorazowe przelewy wynosiły od kilkunastu, do nawet kilkuset tysięcy złotych.