Takiej sprawy jeszcze w Polsce nie było. Co najmniej 154 miliony złotych wykradł z kont bankowych na całym świecie, polski odłam cybergangu, którego bossowie rezydowali w Rosji i mogli mieć powiązania z tamtejszymi służbami specjalnymi. Jak się dowiedział portal tvp.info do sądu trafił właśnie akt oskarżenia przeciwko polskim liderom grupy i ich najbliższym współpracownikom. – To największa w historii polskiego wymiaru sprawiedliwości sprawa dotycząca międzynarodowej cyberprzestępczości – powiedział tvp.info prok. Maciej Florkiewicz, naczelnik lubelskich „pezetów”. O skali przestępstw popełnianych przez polski odłam cybergangu najlepiej świadczy fakt, że osoby odpowiedzialne w grupie za rozliczanie i przekazywanie pieniędzy dostawały od razu liczarki do banknotów. Tylko na terenie naszego kraju przestępcy założyli dwa tysiące kont rachunków, przez które przepuścili ponad 154 miliony złotych. <br /><br /> Śledczy z Lubelskiego Wydziału Zamiejscowego Departamentu do Spraw Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej ustalili, że polscy rezydenci cybergangu: przez Dariusz O., Mariusz S. i Mariusz P. zawiadywali blisko 500 osobami: przede wszystkim słupami, którzy zakładali rachunki bankowe potrzebne do transferowania wykradzionych pieniędzy. <br /><br /> Portal tvp.info dotarł do szczegółów aktu oskarżenia w tej sprawie.<b>Groźny „mały bankowiec”</b><br /><br /> Cybergansterzy włamywali się na konta bankowe na terenie całego świata, głównie jednak w krajach Unii Europejskiej oraz USA i Kanadzie. Wykorzystywali wirus komputerowy o nazwie Tinba (od słów: Tiny Banker, – czyli mały bankowiec). Ten tzw. trojan był dołączany do fałszywych e-maili pochodzących rzekomo od firm ubezpieczeniowych, kurierskich, banków czy poczty. Wystarczyło otworzyć załącznik do otrzymanej wiadomości i wirus już uzyskiwał dostęp do konta ofiary. <br /><br /> Rada Bakowości Elektronicznej taj przedstawia mechanizm działania „trojana”: „<i>Klient podaje hasło i login do bankowości internetowej, które są następnie przesyłane na serwer hakerów. Na komputerze klienta przez okres czasu około minuty lub dłużej wyświetlany jest komunikat „ trwa przesyłanie danych”, „proszę czekać”, „trwa aktualizacja danych” itp. W tym czasie na podstawie wykradzionego loginu i hasła następuje: logowanie przez hakerów do bankowości internetowej klienta, badanie dostępnych środków, przygotowywanie transakcji oszukańczej, pobranie informacji z banku o konieczności podania numeru wygenerowanego przez Token w celu autoryzacji ww. transakcji. Po tych czynnościach na komputerze klienta skrypt wyświetla komunikat o rzekomych problemach z uwierzytelnieniem i generuje prośbę o wprowadzenie dodatkowego numeru wygenerowanego przez Token w celu prawidłowego przeprowadzenia procesu uwierzytelnienia tożsamości klienta. Nieświadomy użytkownik wprowadzając numer z Tokena „de facto” autoryzuje transakcję oszukańczą myśląc, iż dokonuje dodatkowego uwierzytelnienia swojej tożsamości</i>”. <br /><br /> Aby zamaskować nielegalne operacje, po kradzieży wirus często wysłał komunikat o ‘pracach modernizacyjnych czy przerwie w pracy bankowości internetowej.<b>Wirus ze Wschodu</b><br /><br /> Pieniądze z rachunków bankowych, do których uzyskali dostęp przestępcy, były następnie transferowane przez Polskę i Danię na Ukrainę, następnie trafiały najprawdopodobniej do Rosji lub Łotwy. Z ustaleń prokuratury wynika, że polski oddział cybergangu dokonał 1259 kradzieży. Jednorazowe przelewy wynosiły od kilkunastu do nawet kilkuset tysięcy złotych. Międzynarodowy cgang działał od czerwca 2009 r. do kwietnia 2016 r. <br /><br /> – Z naszych informacji wynika, że organizatorzy cybergangu wywodzili się z Rosji. Nie jest jednak pewne czy pieniądze trafiły do tamtejszej mafii czy do służb specjalnych, które znane są ze skutecznych ataków hakerskich – mówi jeden ze śledczych. <br /><br /> Pewne jest, że właśnie na Łotwie lub w Rosji rezydowali autorzy złośliwego oprogramowania. Do nich trafiało 60 proc. wykradzionych pieniędzy. Pozostałymi 40 proc. dzieli się rezydenci oddziałów krajowych, takich jak polski. – Hakerzy byli na najwyższym poziomie działalności grupy. Osoby te przygotowywały oprogramowanie w celu ataku na klientów określonych banków w różnych krajach. W kodzie oprogramowania złośliwego zaszyfrowywane były numery rachunków założonych przez członków grupy przestępczej przeznaczonych do transferów pieniędzy. Ten poziom grupy przestępczej stanowili obywatele państw rosyjskojęzycznych – dodaje prok. powiedział tvp.info prok. Maciej Florkiewicz, naczelnik Lubelskiego Wydziału Zamiejscowego Departamentu do Spraw Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej.<b>Polskie mózgi w akcji</b><br /><br /> Kolejnymi po hakerach, w hierarchii ważności gangu były osoby nazywane „mózgami”. Odpowiadały one za budowanie siatek osób, za pomocą, których można było bezpiecznie transferować wykradzione pieniądze do organizatorów przestępstwa. Podlegali im „księgowi” (dysponujący dostępem do baz danych okradanych osób) oraz „łowcy mułów” (odpowiedzialni za nadzór nad kontami zakładanymi przez podstawione osoby, czyli „muły”). „Mułami” byli najczęściej alkoholicy z Polski, Ukrainy i Łotwy, którzy za niewielkie wynagrodzenie zakładali rachunki bankowe niezbędne do transferowania zysków gangu. <br /><br /> Na terenie Polski oraz Danii „mózgami” byli: Dariusz O., Mariusz P. i Mariusz S. Dwaj ostatni mężczyźni przez jakiś czas byli samodzielnymi rezydentami cybergangu, ale w końcu podporządkowali się pierwszemu. Mieli stały kontakt z hakerami, od których przyjmowali konkretne zlecenia. <br /><br /> Według śledczych podgrupa Dariusza O. była „nadzwyczaj zorganizowana”. Szef pilnował bezpieczeństwa przedsięwzięcia. Każdy z jego podwładnych musiał na bieżąco zacierać ślady przestępstwa. – Wykorzystane telefony, komputery, a także karty płatnicze były niszczone po realizacji poszczególnych etapów działań. Sprawcy korzystali wyłącznie z telefonów pre-paidowych, kontaktując się między sobą za pomocą komunikatorów internetowych oraz poczty elektronicznej, której konta były zakładane na specjalnych rosyjskich serwerach, gwarantujących użytkownikom pełną anonimowość – dodaje prok. Florkiewicz. <br /><iframe allow="autoplay; encrypted-media" allowfullscreen="" frameborder="0" height="356" src="https://www.youtube.com/embed/JO6pIDGdQLA?ecver=1" width="633"></iframe><b>„Muły” jadą po pieniądze</b><br /><br /> Na samym dole przestępczej hierarchii były tzw. muły. To właśnie oni zakładali rachunki indywidualne lub firmowe po jednym w kilku czy nawet kilkunastu bankach w Polsce, ale także w krajach sąsiednich: Niemczech, Słowacji czy Czechach. Każdy „muł” miał przykazane, aby przy podpisywaniu umowy podać adres do korespondencji wskazany przez swoich nadzorców. Najczęściej były to adresy pustostanów, rzadziej przypadkowych osób. Chodziło o to, aby można było bezpiecznie przejąć karty płatnicze wysłane przez banki. Jeśli chodzi o wykorzystanie adresów przypadkowych osób, to przestępcy włamywali się do ich skrzynek pocztowych, przechwytując korespondencję z bankiem. <br /><br /> „Muły” podawały także numery telefonów do odbierania wiadomości SMS z kodami do autoryzacji transakcji internetowych. Mając już wszystkie dokumenty oraz karty płatnicze przekazywali je „mózgom”. Ci zaś wykorzystywali tak założone konta do otwarcia kolejnych rachunków, za pomocą, których transferowano pieniądze do hakerów. Następnie numery rachunków były przekazywane hakerom. Ci zaś po dokonanej kradzieży, transferowali pieniądze na konta „mułów”, o czym informowali „mózgi”. Dla bezpieczeństwa przelewy na konta cybergangu nie przekraczały kilkudziesięciu tysięcy złotych. <br /><br /> Na sygnał od nadzorców, „księgowi” przelewali pieniądze na kolejne rachunki. Później „właściciele” kont wypłacali gotówkę w bankomatach lub placówkach banków. Tak wyprane pieniądze były transferowane na Ukrainę za pośrednictwem znanych firm zajmujących się międzynarodowymi przekazami pieniężnymi. Stamtąd gotówka trafiała najprawdopodobniej do Rosji.<b>Koniec El Dorado</b><br /><br /> Początkiem końca polskiej rezydentury cybergangu było zatrzymanie w listopadzie 2015 Mariusza S. Mężczyzna ukrywał się w Danii, posługując węgierskim paszportem oraz dwoma węgierskimi dowodami osobistymi. W mieszkaniu jego ukochanej znaleziono 70 tys. euro i 300 tys. koron duńskich. <br /><br /> W marcu 2016 r. policjanci z Wydziału do Walki z Przestępczością Gospodarczą lubelskiej komendy wojewódzkiej, zatrzymali również w Danii - Dariusza O. Z ustaleń śledczych wynika, że po wyjeździe do Skandynawii, mężczyzna stworzył tam najbardziej liczną sieć „mułów”. Policjanci mówili, że jego organizacja przypominała wręcz obóz pracy dla Polaków i Łotyszy. Miesiąc później w Białej Podlaskiej wpadł Mariusz P. <br /><br /> W czasie śledztwa ustalono, że przez polski odłam gangu przewinęło się 500 osób. Do kwietnia 2018 r. skierowano akty oskarżenia przeciwko 48 osobom, głównie „mułom”. Teraz odpowiedzą „polskie mózgi” oraz ich najbliżsi współpracownicy. W czasie śledztwa udało się zablokować na kontach gangsterów ponad 70 milionów złotych.