Как хакеры заработали миллионы на фиктивном возврате билетов РЖД и S7

Басманный суд Москвы начал рассматривать дело о создании преступного сообщества, члены которого заработали 17 млн руб. на фиктивных возвратах билетов РЖД и S7. В деле около 60 эпизодов мошенничества в отношении 31 компании. Членами предполагаемого организованного преступного сообщества были 29 человек, следует из обвинительного заключения, которое зачитала в суде 29 октября прокурор Диана Оганян. События дела относятся к 2013–2014 годам.

Из описанной гособвинением схемы следует, что выгоду от фиктивных возвратов могли приобретать не только мошенники, но и перевозчики. При этом в деле не утверждается, что у преступников были сообщники в структурах S7 и РЖД.

По данным «Новой газеты», одна из рассматриваемых версий убийства старшего следователя по особо важным делам управления МВД на транспорте по Центральному федеральному округу Евгении Шишкиной связана с расследованием мошенничества с билетами. Издание упоминало, что в последнем деле Шишкиной шла речь о партнерской структуре РЖД — компании «Универсальная финансовая система». «Известия» писали, что подозреваемым в организации убийства является бежавший в Черногорию Ярослав Сумбаев. В обвинительном заключении по делу о билетах он назван организатором и лидером ОПС.

Дело действительно вела следственная группа под руководством Шишкиной, подтвердил РБК адвокат одного из обвиняемых Николай Аршинов. О проверке Сумбаева или кого-либо из его сообщников на причастность к убийству Шишкиной защита не знает.

«Хулиган из Питера» и «ТС с огромной репой»

На скамье подсудимых три человека: 29-летний уроженец Кингисеппа Ленинградской области Максим Матюшев, 31-летний Андрей Жданов из Новосибирска и 32-летний москвич Кирилл Кулабухов. Все трое не признают вину.​ У Жданова среднее образование, а Матюшев и Кулабухов окончили только по девять классов средней школы и были ранее судимы: один получил пять лет колонии в Красноярске, второй — такой же срок в Кингисеппе.

В 2012 году Матюшев на одном из интернет-форумов, где обсуждались схемы нелегального заработка в Сети, познакомился с Сумбаевым, полагает следствие. И Сумбаев, и Матюшев тогда были в федеральном розыске по делам о мошенничестве: один, по версии следствия, устанавливал скимминговые устройства на банкоматы в торговых центрах, а второй расхищал средства с карт клиентов одного из банков. Молодые люди, общаясь в мессенджере Jabber, договорились зарабатывать вместе, следует из обвинительного заключения.

По версии следствия, сообщники взломали базы данных ООО «С7 билет» — структуры авиаперевозчика S7, а также компании «Универсальная финансовая система» (УФС), партнера РЖД. Так в распоряжении мошенников оказались логины и пароли корпоративных клиентов этих сервисов, и они смогли приобретать билеты на самолеты и поезда за счет множества юрлиц.

Билеты оформлялись на паспортные данные случайных людей, желающих подзаработать. В хакерской терминологии такие подставные лица называются «дропами», говорится в обвинительном заключении. В дальнейшем человек, предоставивший мошенникам свои паспортные данные, шел в кассу вокзала или аэропорта и оформлял возврат билета, получая наличные. Деньги перечислялись руководителям группы.

Человек, который координировал группы «дропов», назывался «дроповодом» — его функции выполняли Сумбаев и уроженец Саранска по фамилии Святкин, следует из обвинительного заключения. У Матюшева была функция «заливщика»: он внедрялся в базу, анализировал финансовое состояние юрлиц и выявлял тех из них, за счет которых можно приобрести билеты. «Дропов» предполагаемые мошенники искали с помощью объявлений на форумах, при этом Матюшев использовал ник «ТС с огромной репой», а Сумбаев — «Хулиган из Питера».

Пять тысяч билетов

Хакеры условились, что 45% заработка достается Сумбаеву, а 40% — Матюшеву, считает следствие. Еще 15% предназначались программисту, который сможет разработать софт для более быстрого подбора паролей и сбора идентификационных данных юрлиц (на первых этапах мошенники, по сути, подбирали пароли вручную).

Таким программистом стал найденный на одном из форумов Кирилл Кулабухов. За основу он взял легальный софт, предназначенный для удаленного администрирования компьютеров. Затем Кулабухов разослал на электронные адреса юрлиц из баз S7 и РЖД зараженные письма. Если получатель открывал письмо, хакер мог подключиться к компьютерам компаний и получить доступ к личным кабинетам кассиров. Далее хакеры от имени кассиров заполняли макеты электронных маршрутных квитанций данными «дропов» и проводили платежи.

В дальнейшем группа мошенников за счет вовлеченных в нее «дропов» выросла до 20 с лишним человек и обзавелась разветвленной структурой с несколькими подразделениями, считает гособвинение. Хакеры действовали в Санкт-Петербурге, Уфе, Новосибирске, Алтайском крае и подмосковном Домодедово. Это позволяет утверждать, что речь идет о преступном сообществе, подчеркнула, выступая в суде, прокурор Оганесян. Некоторые из членов группировки уже осуждены: один из «дроповодов», Святкин, получил приговор еще в 2015 году.

Среди потерпевших от действий мошенников гособвинение называет 31 компанию, в основном это туроператоры и логистические организации. Сильнее всего пострадали «В.И.П. СЕРВИС», «Интурист-Находка», «Виза конкорд трэвел», Приморское агентство авиационных компаний, «Старлайнер» и сама «С7 билет». Сумма ущерба в каждом случае составляет от нескольких десятков тысяч до 3,5 млн руб. Всего с июля 2013-го по август 2014 года мошенники оформили за чужой счет более 5 тыс. электронных маршрутных квитанций, считает следствие.

Выгода на возврате

В обвинительном заключении не утверждается, что корпорации получали какую-либо выгоду от схемы с возвратами билетов. Из документа также не следует, что у мошенников были сообщники в структурах РЖД или S7. При возврате билета перевозчик, как правило, удерживает таксу и сервисные сборы; у S7 они зависят от тарифа, а у РЖД — от времени, оставшегося до поездки, и маршрута.

Как рассказал РБК адвокат Матюшева Николай Аршинов, следствие не спрашивало его подзащитного о возможных подельниках в РЖД или S7. «Конечно, в деле есть допросы сотрудников, которые принимали билеты и выплачивали денежные средства. Но есть правила, по которым перевозчики удерживают комиссию при возврате билета; они в любом случае действуют в соответствии с этими правилами. Понятно, что за билет деньги не возвращались в том же объеме, в каком были уплачены, всегда какой-то процент удерживался», — сказал адвокат.

УФС не признана в деле потерпевшей стороной, но она «сотрудничала с транспортной полицией в рамках расследования деятельности кибермошенников», — сообщили РБК в пресс-службе компании. В УФС отметили, что приняли меры для защиты данных, ввели двухфакторную аутентификацию и средства контроля IP-адреса, что позволило «свести практически на нет случаи взлома систем партнеров компании, своевременно информировать операторов, перевозчика и транспортную полицию о подозрительных действиях, а также помогло задерживать так называемых «дропперов».

В пресс-службе РЖД отметили, что утечек персональных данных клиентов РЖД с официального сайта компании не было. «Любая другая форма продажи железнодорожных билетов осуществляется сторонними компаниями и может предусматривать агентский сбор», — отметили в РЖД.

РБК направил запросы в пресс-службу группы компаний S7.

Старший следователь по особо важным делам управления на транспорте МВД по Центральному федеральному округу Евгения Шишкина была расстреляна утром 10 октября на выходе из своего дома в поселке Архангельское Красногорского района Подмосковья. В последние месяцы следователь получала угрозы и несколько раз сообщала о них руководству в рапортах, однако от предложенной госзащиты отказывалась, сообщал СК.

​В 2014 году Фонд борьбы с коррупцией Алексея Навального заявлял, что билетный оператор «Универсальная финансовая система» контролируется Андреем Якуниным, сыном бывшего главы РЖД Владимира Якунина. В 2016 году Навальный писал, что МВД проверяет эти сведения. По данным «Новой газеты», расследованием деятельности УФС занималась следователь Шишкина. В компании опровергали участие Андрея Якунина в капитале.