Мальчиши «Кибальчиша»: дело группировки из 26 хакеров дошло до суда
Суд в Москве приступил к рассмотрению резонансного уголовного дела 26 участников группировки кибермошенников Flint24. Согласно материалам следствия, хакеры взламывали сети иностранных банков, похищали данные карт их клиентов и продавали их в даркнете. Главой организованного преступного сообщества обвинение считает Алексея Строганова, уже судимого за подобные махинации в 2006 году. Отсидев шесть лет и выйдя на свободу, он, казалось, исправился — даже создал некоммерческую организацию «Кибальчиш» якобы для борьбы с киберпреступностью. На самом же деле, полагает следствие, с 2014 по 2020 год Строганов завербовал более 20 хакеров и создал в даркнете целую структуру из порталов, торговавших похищенными данными банковских карт.
Международный кардинг
14 мая прокурор начал оглашать обвинительное заключение по уголовному делу Алексея Строганова и еще 25 фигурантов группировки Flint24, обвиняемых в краже данных банковских карт и перепродаже их через магазины в даркнете.
Зал заседаний Второго западного окружного военного суда, где слушается дело, с трудом вместил всех участников громкого процесса — интересы обвиняемых представляет около 30 адвокатов, а поддержать фигурантов пришли многочисленные родственники.
Обвинение полагает, что организованное преступное сообщество (ОПС) так называемых кардеров действовало с 2014 по 2020 год. Свое название — Flint24 — оно получило из-за того, что его основатель Алексей Строганов имел кличку Флинт. Его задержали в 2020 году после контрольной закупки данных сотрудниками ФСБ и предъявили обвинение в неправомерном обороте платежных средств организованной группой и создании ОПС.
По версии следствия, участники Flint24 создали в даркнете целую структуру из интернет-магазинов, через которые продавали данные банковских карт. Среди жертв киберпреступников числятся американские, сербские и вьетнамские кредитные организации и их клиенты.
Согласно позиции обвинения, которая прозвучала на первом судебном заседании, группа киберпреступников состояла из нескольких структурных подразделений — в Москве, Калужской области и Крыму. Их работу координировал один из фигурантов дела — Роман Васильев. Часть подразделений занималась хищением данных с магнитных полос банковских карт (так называемые дампы. — «Известия»), а остальные реализовывали их через даркнет.
Кроме того, Строганов возглавлял созданную им АНО «Кибальчиш». На бумаге организация занималась противодействием киберпреступности, а фактически — устранением конкурентов группировки.
За всё время существования ОПС ее участники успели завербовать и обучить более 20 человек. Прокурор сообщила, что во время обысков по адресу одного из подразделений преступной сети было изъято $432 тыс.
Выслушав позицию прокуратуры, Строганов назвал ее непонятной и не основанной на законодательстве.
— Обвинение незаконно и абсурдно, вину свою я не признаю, — заявил он.
Американский след
Обвинения в кардинге Строганову предъявили не только в России, но и в США. В начале 2024 года Секретная служба США объявила Флинта в розыск. Его дело ведет отдел по борьбе с компьютерными преступлениями и интеллектуальной собственности уголовного отдела министерства юстиции США.
Согласно обвинительным актам прокуратуры Нью-Джерси, с которыми ознакомились «Известия», Строганов и его сообщники собрали данные сотен миллионов кредитных карт и банковских счетов и продали их, причинив ущерб различным финансовым учреждениям на $35 млн.
Прокуратура США квалифицировала действия Строганова по трем статьям. Основные обвинения в мошенничестве с использованием электронных средств и в сговоре в американском законодательстве предусматривают до 20 лет тюремного срока и штраф в размере $250 тыс. За банковское мошенничество в США Строганов мог бы получить до 30 лет лишения свободы и штраф $1 млн. А кража личных данных при отягчающих обстоятельствах влечет за собой обязательное наказание в виде двух лет тюремного заключения.
Впрочем, все эти санкции могли бы быть применены только в том случае, если бы Россия выдала Строганова американскому правосудию. Но судят его на родине, и российское уголовное законодательство относится к таким преступлениям несколько мягче. Так, неправомерный оборот платежных средств организованной группой предусматривает до семи лет лишения свободы и штраф 1 млн рублей, а создание ОПС — от 12 до 20 лет колонии.
Строганов ранее уже был судим за кардинг — в 2006 году Люблинский суд Москвы приговорил его к шести годам колонии. После освобождения он начал заниматься кибербезопасностью коммерческих организаций.
Вернут ли похищенные средства
Преступления, связанные с хищением персональных данных владельцев карт, стали фиксироваться одновременно с распространением таких средств платежа, рассказал «Известиям» адвокат Эмиль Агамалиев.
— Злоумышленники в первое время часто пользовались доверчивостью граждан и отсутствием элементарных знаний в области ПК и электронных средств платежа, — сказал он. — Сейчас одним из самых распространенных способов кражи персональных данных является фишинг — это вид интернет-мошенничества, цель которого получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Фишинг применяется с помощью вредоносного программного обеспечения.
Эксперт также добавил, что «сливами» данных за деньги занимаются и недобросовестные сотрудники банков.
В некоторых случаях банки могут компенсировать украденные мошенниками средства, пояснила изданию коммерческий директор SafeTech Дарья Верестникова.
— Согласно закону «О национальной платежной системе», по операциям, проведенным без согласия клиента, банк обязан вернуть похищенные деньги, но при соблюдении рядя условий, — отметила эксперт. — Так, статья 9 закона требует, чтобы при потере банковской карты или при ее использовании без ведома владельца клиент незамедлительно проинформировал об этом банк, но не позднее дня, следующего за днем получения уведомления от банка о проведении спорной операции.
Дарья Верестникова подчеркнула, что банк обязан вернуть деньги, если клиент не нарушал правило пользования средством платежа — не хранил вместе карту и ПИН-код, не сообщал никому кодов из SMS или пуш-сообщений, не передавал карту третьим лицам, не сообщал логин-пароль для входа в банк-клиент, не позволял фотографировать карту, не сообщал третьим лицам CVV-код на оборотной стороне карты.
В последние годы дела о хакерских группировках нередки. В марте 2023 года Таганский суд огласил приговор четверым членам группировки Infraud Organization по статье о неправомерном обороте средств платежей с ущербом более 1 млрд рублей. Им грозило до семи лет колонии, но подсудимые полностью признали вину и получили условные сроки.