Журналісти викрили дві глобальні мережі криптошахраїв: ошукано 33 тисячі людей на $275 мільйонів

06 марта 2025

Ігор Шульга
2208

Авторські

Журналісти викрили дві глобальні мережі криптошахраїв: ошукано 33 тисячі людей на $275 мільйонів

Дві міжнародні мережі кол-центрів під виглядом інвестицій у криптовалюту упродовж 2021-2025 років виманили у 33 тисяч людей по всьому світу понад 275 мільйонів доларів. Працювали кібершахраї, зокрема, і з України, де орендували приміщення у сім’ї народного депутата Антона Яценка.

Це у межах спільного розслідування під назвою «Імперія шахрайства» викрили журналісти міжнародної організації Organized Crime and Corruption Reporting Project (OCCRP), шведського суспільного мовника (SVT) та 30 інших медіа, в тому числі й Української служби Радіо Свобода.

Розслідування ґрунтується на витоку даних обсягом 1,9 терабайта. Це – таблиці витрат, записи телефонних дзвінків із постраждалими і детальна інформація про суми внесків кожного ошуканого «клієнта». Ці матеріали шведське телебачення отримало від викривача, який пояснив свою мотивацію тим, що хоче «покласти край безкарності шахраїв», але сам побажав залишитися анонімним.

Журналісти консорціуму спільно дослідили ці дві мережі кол-центрів. Вдалось зʼясувати, що одна з них, A.K. Group, має щонайменше три офіси в Тбілісі, столиці Грузії, та з 2022 року отримала понад 35 мільйонів доларів від близько 6 тисяч людей.

Інша кібермережа – це група афілійованих компаній та офісів в Україні, Болгарії та на Кіпрі, які, схоже, працюють під керівництвом управлінської команди в Ізраїлі. Наразі журналістам не вдалося встановити кінцевих власників і офіційну назву бізнесу, але розслідувачі з’ясували, що з 2021-го по 2024 рік ці криптоброкери могли ошукати 26 тисяч людей на 240 мільйонів доларів.

Згідно з інформацією, отриманою журналістами у межах витоку, головний офіс ізраїльсько-європейської мережі кібершахраїв може розташовуватися у хмарочосі Sapphire Tower у місті Рамат-Ган, що у Ізраїлі

Шахраї знаходили «клієнтів» через рекламу в соцмережах, втиралися в довіру, обіцяючи захмарні прибутки за інвестиції у криптовалюту чи акції, а також переконували їх встановити на свій пристрій програмне забезпечення для віддаленого доступу, щоб максимально контролювати дії «інвестора». Зрештою, «клієнти» залишались без грошей і прибутків, та часто – з боргами.

В Україні в цієї ізраїльсько-європейської мережі кол-центрів був принаймні один офіс, який працював у Києві щонайменше до початку 2022 року. Звідси працівники компанії, ймовірно, телефонували потенційним жертвам з різних куточків світу.

Криптобізнес на підставних осіб

Усього від діяльності мережі псевдопродавців криптовалют, яка, зокрема, працювала і з України, постраждали люди з понад 30 країн – переважно Канади, Іспанії, Австралії, Великобританії та Південної Африки.

Більшість ошуканих «інвесторів», з якими поспілкувалися журналісти, не змогли повернути свої вкладення, як і отримати обіцяні прибутки.

Один із кол-центрів у Києві, про який дізналися журналісти, працював до початку повномасштабного вторгнення Росії в Україну. Після цього, відповідно до документів витоку, частину працівників перемістили у Північну Македонію, де для них облаштували тимчасовий офіс, який згодом переїхав до Болгарії. Чи продовжують вдавані криптоброкери, бодай частково, працювати з Києва і досі – достеменно невідомо.

До великої війни до своїх схем ця мережа також залучала й пересічних українців – їм платили гроші за те, щоб ті реєстрували на себе компанії. Керували ж ними насправді кібершахраї, які, швидше за все, перебували за кордоном, а фактичні власники часто не знали, чим займаються зареєстровані на них фірми.

Однією з таких, ймовірно, підставних осіб є 23-річна киянка. Вона є власницею та директоркою «Естелла Юкрейн» – компанії, яка згадується у витоку з ізраїльсько-європейської шахрайської мережі. Радіо Свобода на прохання дівчини не називає її імені, адже, як вона стверджує сама, вона не була свідомою учасницею схеми. Про те, що оформлена на неї компанія пов’язана з кібершахрайством, дівчина дізналася від журналістів.

Рахунок-фактура на оплату послуг веб-хостингу на суму 3,000 доларів, який отримала «Естелла Юкрейн» від підрядника у Гонконгу в 2024 році. Цей документ журналісти отримали у межах витоку

У 2021 році тоді ще 19-річна студентка працювала у ресторані, коли колега запропонувала їй підробіток: зареєструвати на себе компанію та зрідка ставити підпис на документах. Вона погодилась, не розпитуючи деталей. За це отримувала дві тисячі гривень щомісяця.

«Я спілкувалася з одним хлопцем. Ми особисто не бачилися, він просто мені описував, які дані в банку треба вказати і все таке. Але він видалив всю переписку», – згадує дівчина у розмові з Радіо Свобода.

За словами киянки, після початку великої війни у 2022 році вона перестала отримувати кошти. Під час останнього листування з посередником у січні 2023 року той сказав, що компанія, записана на неї, «більше не працює».

Втім, як встановили журналісти, це не так.

Відповідно до витоку, у 2024 році компанія «Естелла Юкрейн» укладала угоди з так званими «брендами», пов’язаними з ізраїльсько-європейською мережею кібершахраїв, а також оплачувала маркетингові послуги.

Окрім цього, у 2022 році «Естелла Юкрейн» орендувала приміщення у Людмили Кравчук, дружини народного депутата Антона Яценка, згідно з його електронною декларацією.

Яценко – депутат останніх чотирьох скликань парламенту, востаннє обраний у 2019 році як безпартійний. Він, зокрема, помічений у «кнопкодавстві» – голосуванні за відсутніх на засіданнях парламенту колег. Як встановили у 2018 році журналісти Bihus.Info, Яценко був пов’язаний із компаніями-посередниками, які стягували комісію за завантаження файлів з висновками оцінювачів нерухомості до бази даних Фонду держмайна. Так, за рік ці чотири майданчики могли заробити 183 мільйони гривень. У 2019-му Антимонопольний комітет України виявив ознаки змови та оштрафував ці компанії, а згодом парламент ліквідував так звані «майданчики Яценка». Народний депутат свій звʼязок з цими фірмами-посередниками заперечував.

Народний депутат Антон Яценко

Дружина Яценка, адвокатка Людмила Кравчук, як повідомляли раніше «Наші гроші», володіє низкою елітної нерухомості у центрі Києва. Попри те, що адреса офісу, який в Кравчук винаймала компанія «Естелла Юкрейн», у декларації Яценка не вказана, ймовірно, йдеться саме про бізнес-центр на вулиці Січових Стрільців у Києві– він згадується у чеках за користування послугами таксі працівників мережі за 2021-й та початок 2022 року, доступ до яких журналісти отримали у межах витоку.

«Якщо в декларації зазначено, то, дійсно, такий орендар був. (...) Людмила проти роботи з кол-центрами і перевіряє компанії перед укладанням договорів, оскільки робота з ними дуже шкодить діловій репутації. Якщо договір було укладено, отже, компанія не мала ознак кол-центру», – йдеться у письмовій відповіді народного депутата на запитання Радіо Свобода.

Додзвонилися журналісти і самій Людмилі Кравчук. Вона зазначила, що не пам’ятає усіх деталей угоди з компанією «Естелла Юкрейн», але точно пригадує пункт про конфіденційність, а тому, каже, усі дані готова надати тільки на запит державних органів, якщо такий отримає.

«Кожен договір у мене має розділ «конфіденційність». І будь-яку інформацію я можу надавати тільки на запит правоохоронних органів, податкових органів. Тому, на жаль, якщо я сама не буду дотримуватися своїх же договорів з моїми клієнтами, мої клієнти не будуть мені довіряти», – підкреслила Кравчук.

Бізнес-центр у Києві по вулиці Січових Стрільців, де винаймала офіс компанія, яка може бути повʼязана з міжнародним кібершахрайством -- «Естелла Юкрейн». Володіє офісом, який орендувала ця фірма, Людмила Кравчук, дружина народного депутата Антона Яценка

Коли журналісти «Слідства.Інфо» – партнери Радіо Свобода та OCCRP в цьому розслідуванні – відвідали цей бізнес-центр на вулиці Січових Стрільців у Києві, його охоронець повідомив, що компанії «Естелла Юкрейн» там немає. Журналісти OCCRP і Радіо Свобода також надіслали лист з проханням про коментар на електронну пошту компанії та телефонували за вказаним у реєстрі юросіб номером – втім, без відповіді.

Та, попри це, «Естелла Юкрейн», схоже, продовжувала працювати і у 2024 році. Журналісти знайшли у вебархіві старі оголошення компанії про пошук працівників. Торік «Естелла Юкрейн» пропонувала 1000-1500 доларів та «легку роботу з подорожами до країн ЄС та щоденними виплатами» за підписання документів від імені іспанської фірми Besonicke SL, що також фігурує у витоку як пов’язана з кібершахрайством.

Оголошення про вакансію від «Естелла Юкрейн», яке журналісти відшукали у веб-архіві

Ізраїльсько-європейська кібермережа використовувала й інших українців як, ймовірно, підставних власників для своїх компаній. Наприклад, жительку Дніпропетровщини Дарину Рєзнік. Дівчина померла від інфаркту у 2023 році, тому її історію журналістам Радіо Свобода переповіла матір Дарини – Ольга.

У 2021 році тоді 28-річна дівчина поїхала до Києва на лікування. Поки перебувала у столиці, завела нових знайомих. Втім, каже жінка, ці люди обікрали її доньку.

«Вони забрали в неї телефон, от якраз в 2021 році, забрали в неї документи. Вона не могла тиждень повернути їх, потім віддали, здається, тільки паспорт, телефон їй так і не повернули», – розповідає Ольга.

Ким були ці знайомі доньки – вона не знає. Та того ж року на імʼя Дарини Рєзнік у Києві зареєстрували компанію «ЕМ Девелоп» – фірму, яка також фігурує у витоку з мережі криптошахраїв, доступ до якого отримали журналісти.

Матір жінки у розмові з Радіо Свобода сказала, що їй невідомо про те, що донька займалася бізнесом.

Однак, як встановили журналісти, навіть після смерті Дарини у 2023 році її компанія «ЕМ Девелоп» продовжила працювати

Рахунок-фактура за послуги з маркетингу на 2,000 доларів, який виставили компанії «ЕМ Девелоп». Його журналісти отримали у межах витоку

Згідно з рахунками, які журналісти знайшли у витоку даних, у 2024 році «ЕМ Девелоп», яка тоді працювала під брендом Opulent Allies, оплачувала послуги маркетингових компаній, які є партнерами ізраїльсько-європейської мережі.

Як псевдопродавці криптовалют знаходять покупців?

Методи залучення клієнтів, які використовували обидві міжнародні групи кібершахраїв, досить схожі, хоч журналісти і не змогли встановити зв’язок між ними.

Наприклад, вони вдають з себе справжніх авторизованих трейдерів.

Ошукана інвесторка зі Швеції, яка втратила понад 15 тисяч доларів, розповіла журналістам, що кібершахраї назвалися представниками «бренду» Golden Currencies. Управління фінансового контролю Великобританії внесло Golden Currencies до списку «клонів» авторизованих криптотрейдерів. Цей «бренд» удає з себе фінансову компанію Currencies Direct Financial Markets Limited.

«Гарантійний лист», який Golden Currencies направляло вкладникам із запевненнями у безпечності та надійності інвестицій

Як встановили журналісти, у своїх шахрайських схемах ці дві міжнародні мережі використовують не лише назви інших компаній, а й імена відомих людей.

Оголошення з зображенням Ілона Маска, мільярдера та члена команди президента США, яке ширилося соцмережами, просуваючи інвестиції у шахрайські криптосхеми

Постраждалі від кібершахрайства згадують, що переходили за онлайн-оголошеннями з іменами та зображеннями, зокрема, мільярдера та члена команди президента США Ілона Маска, іспанського коміка Пабло Мотоса, експрезидента Фінляндії Саулі Нііністьо та експрем’єр-міністерки Фінляндії Санни Марін. На запитання OCCRP представники Нііністьо відповіли, що знають про проблему та повідомили правоохоронців, однак відстежити шахраїв не вдалося. Марін у коментарі журналістам зазначила, що їй про це нічого невідомо й згоди на використання своїх фото та імені вона не надавала.

Один із ошуканих вкладників, фінський вчений на пенсії Хельмер Сьодергорд розповів журналістам, що повівся на рекламу фальшивої інвестиційної схеми, яку начебто просували саме Нііністьо та Марін.

Зрештою шахраї отримали віддалений доступ до комп’ютера пенсіонера та спустошили його банківські рахунки, вкравши заощадження, які він збирався передати своїм шістьом дітям.

«Весь мій світ зруйнувався», – розповів Сьодергорд фінській газеті Yle, партнерам Радіо Свобода та OCCRP у цьому розслідуванні.

72-річний фінський вчений на пенсії Хельмер Сьодергорд спілкується з журналістами фінської газети Yle

Чоловік розказав Yle, що впав у глибоку депресію і навіть на певний час відмовився від їжі, але тепер, завдяки підтримці сім’ї, одужує.

Ошуканий чоловік звернувся до фінської поліції. Там розпочали розслідування, але швидко його припинили, пояснивши це тим, що шанси встановити особу злочинця дуже малі.

Фін Сьодергорд – не єдиний, хто встановив шахрайське програмне забезпечення на свій компʼютер.

Це – вигляд робочого столу кібершахрая. Зліва – система управління взаємовідносинами з клієнтами. Посередині – VoIP-додаток, за допомогою якого працівники кол-центру здійснюють дзвінки. Праворуч – робочий стіл «жертви», до якого шахраї отримали віддалений доступ

Журналісти встановили, що працівники кол-центрів спершу переконують своїх жертв встановлювати на їхні пристрої Anydesk – програму для віддаленого доступу. Це, мовляв, щоб «допомогти з транзакціями». Отримавши доступ до компʼютерів постраждалих, шахраї запускають програму, яка показує нібито захмарні прибутки від інвестицій в криптовалюту. Насправді ж на цьому етапі кошти жертв уже можуть бути на банківських рахунках, пов’язаних із кібершахраями.

Журналісти поспілкувалися з понад сотнею постраждалих від цих двох шахрайських мереж.

Вони розповіли про те, що віддавали шахраям всі свої заощадження, брали кредити у банках чи позичали гроші в друзів та родичів – все, щоб заплатити за «послуги» фіктивних криптоброкерів. Працівники кол-центрів часто переконували своїх жертв у тому, що ті зможуть повернути свої інвестиції та отримати прибуток лише після наступної транзакції.

Боротьба правоохоронців з кібершахрайством

За словами колишнього генерального секретаря Інтерполу Юргена Штока, онлайн-шахраї у всьому світі щорічно отримують близько 500 мільярдів доларів від своєї діяльності.

«Станом на зараз ми припускаємо, що кіберзлочинність може приносити такі ж прибутки, як і міжнародна торгівля наркотиками. (...) Ноутбук, так би мовити, зараз є найгострішим мечем в арсеналі злочинних угруповань», – сказав він у інтерв’ю OCCRP.

Торік Інтерпол затримав більше п’яти тисяч підозрюваних у фінансових злочинах та конфіскував понад 400 мільйонів доларів, ймовірно, отриманих від шахрайства. Це відбулося у межах міжнародної спецоперації з боротьби з кіберзлочинністю, в якій взяли участь правоохоронці з 40 країн.

Працівники офісу Інтерполу в Нігерії під час затримання ймовірного кібершахрая у межах міжнародної спецоперації правоохоронців

OCCRP та партнери звернулися до українських правоохоронців із запитаннями про те, чи розслідують вони діяльність зареєстрованих у Києві «Естелли Юкрейн» та «ЕМ Девелоп», які, за даними витоку, належать до ізраїльсько-європейської мережі криптошахраїв. На час публікації цього розслідування відповідь від Національної поліції журналісти не отримали.

Хабом для кіберзлочинності, повʼязаної з криптовалютами, Київ стає не вперше.

У 2020 році OCCRP спільно з медіапартнерами опублікували розслідування про Milton Group. Ця міжнародна криптомережа працювала з офісу в центрі Києва та упродовж лише 2019 року отримала понад 67 мільйонів доларів так званих «інвестицій» у біткоїни від ошуканих клієнтів. Восени 2020-го шведська поліція арештувала сервери Milton Group, а наступного року компанія змінила назву, власника і місце реєстрації. Частину працівників, за повідомленнями російських медіа, торік затримали у Москві.

В Україні поліція в 2018 році порушила кримінальну справу щодо Milton Group та провела обшуки в офісі компанії. Однак влітку 2020-го справу закрили: суд відмовив у продовженні строків розслідування.

У 2023 році Верховна Рада створила тимчасову слідчу комісію з розслідування можливого шахрайства кол-центрів та фінансових пірамід в Україні.

Пів року по тому комісія представила звіт, у якому повідомила про роботу «декількох організованих груп», які, ймовірно, ошукують людей. У документі, зокрема, повідомляється, що на той час українські правоохоронці розслідували 179 справ щодо можливих шахрайських дій кол-центрів.

Згодом комісія запропонувала також оновити Кримінальний кодекс, додавши туди статті про «електронно-комунікаційне шахрайство» – тобто, коли за допомогою онлайн-спілкування шахраї отримують доступ до персональних та банківських даних потерпілих, щоб викрасти їхні кошти. Ці пропозиції не прийняли у парламенті.

Наразі парламентська слідча комісія вже не працює – її утворювали на один рік – а деякі її члени-народні депутати залишили територію України. Голова комісії Олександр Куницький вже майже шість місяців не повертається в Україну зі свого «тижневого» відрядження. Інший член комісії-народний депутат Артем Дмитрук також перебуває за кордоном та вже понад пів року оголошений у міжнародний розшук.

Автор: Марія Горбань

За добу українські захисники ліквідували 1250 окупантів