14 июля 2017 года в аэропорту Якутска приземлился самолет из Москвы. На борту находились трое мужчин. Спустя два дня они вывезут из столицы Сахи почти 22 миллиона рублей, выведенных со счетов Алмазэргиэнбанка, не приложив к этому особенных усилий.
Этих троих дистанционно вел некий «директор», который раздавал им указания через Viber. В 23:04 он прислал гостям якутской столицы карту с отмеченными на ней адресами банкоматов. Карта не открылась, поэтому «директору» пришлось высылать банкоматы поадресно.
От банкомата к банкомату злоумышленники передвигались на такси, на каждый из них они тратили от 10 до 50 минут. Дожидались, когда рядом не будет свидетелей, ждали от двух до шести минут, пока банкомат перезагружался и начинал выплевывать наличные. Так обнальщики — или, на языке киберпреступного мира, «мулы» — без перерыва трудились до позднего вечера воскресенья. За выходные планировалось обчистить десять банкоматов, но в ту ночь два из них остались без интернета, так как в районе, где они установлены, отключили связь. Поэтому их пришлось взламывать в понедельник.
Троицей руководили представители одной из самых известных и активных хакерских групп — Cobalt, считают российские правоохранители. Хакеры действуют с 2013 года и используют проверенную схему, на которую из года в год попадаются банковские работники. Банк России считает Cobalt главной угрозой для финансовых организаций. По подсчетам Европола, группа хакеров похитила у сотен банков в 40 странах более миллиарда евро. Только в те выходные в Якутске «мулы» обналичили 21,7 миллиона рублей.
Киберворы действовали по той же отлаженной схеме. Они проникли в систему банка с помощью рассылки, стилизованной под письма от службы поддержки Microsoft. Взломщики использовали компьютер наиболее доверчивого сотрудника банка, кликнувшего на вложение внутри письма. В Алмазэргиэнбанке слабым звеном оказался сотрудник управления пластиковых карт. Через его компьютер злоумышленники проникли в систему банка, троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере. Дыру в безопасности Microsoft, с помощью которой это удалось осуществить, устранили через неделю, однако это уже не могло помешать хакерам.
В банке масштаб катастрофы осознали только к вечеру вторника, когда команда обнальщиков уже была в Москве. Сотрудники банка вручную пересчитали все оставшиеся наличные и сразу же сообщили о недостаче в Москву — в Центробанк и МВД. На то, чтобы установить весь механизм преступления, экспертам понадобилось несколько дней.
Поймали при этом, только дропов, которые снимали деньги.
