ЖОВТНЕВИЙ РАЙОННИЙ СУД м. ДНІПРОПЕТРОВСЬКА
Справа № 201/5497/21
Провадження № 1-кс/201/1710/2021
03 червня 2021 року м. Дніпро
Слідчий суддя Жовтневого районного суду м. Дніпропетровська ОСОБА_1 , з секретарем судового засідання ОСОБА_2 , розглянувши клопотання слідчого СВ ВП №5 ДРУП ГУНП в Дніпропетровській області ОСОБА_3 , погодженого з прокурором Правобережної окружної прокуратури міста Дніпра ОСОБА_4 , про здійснення тимчасового доступу до документів, -
Слідчий звернувся з клопотанням про дозвіл здійснення тимчасового доступу до документів.
В обґрунтування заявленого клопотання слідчий посилався на те, що В кримінальному бюро ІНФОРМАЦІЯ_1 знаходиться в провадженні кримінальна справа № 20230100190, за якою 12.02.2020 р було порушено кримінальне провадження за ознаками ст. 209 ч. 2 п. 3 і 4 ПК в тому, що починаючи щонайменше з 2018 року до теперішнього моменту група людей по телефону і інтернету свідомо вводила жителів Естонської Республіки в оману, представляючись маклерами різних платформ з торгівлі криптовалюта і допомагаючи особам створювати на цих платформах призначені для користувача аккаунти, а також переконуючи їх робити інвестиції. Після здійснених карткових платежів або грошових переказів у осіб більше не було можливості забрати свої гроші, веб-сторінки закривають або вимагають додаткових платежів для здійснення виплат, а й після здійснення додаткових грошових переказів особи не отримали свої гроші назад. У 2019 Департамент поліції і прикордонної охорони Естонської Республіки зареєстрував в Естонській Республіці понад 170 потерпілих і матеріальні збитки в загальній сумі 3,4 мільйона євро. У 2020 році аналогічні показники склали відповідно 140 потерпілих і загальний збиток понад 5 мільйонів євро.
Досудовим розслідуванням було встановлено, що в вищеописаної злочинній схемі могло бути використано підприємство з найменуванням ІНФОРМАЦІЯ_2 . Зібрані докази дають підставу вважати, що саме ІНФОРМАЦІЯ_3 є цією організацією, з якою здійснюється керівництво діяльності всієї мережі і оплата всіх необхідних витрат (наприклад, оплата необхідних ІТ-засобів і структур). Згідно з інформацією з публічних джерел, дане підприємство знаходиться за адресою АДРЕСА_1 , і пропонує послуги зі сфери ІТ і послуги центру дзвінків. Метою даного клопотання про надання юридичної допомоги є, перш за все, підтвердити це виявлення, а також зібрати інформацію по особам, які в даний момент були встановлені як підозрювані, з метою зробити приготування для затримання осіб і обшуку пов'язаних з ними розташування.
Досудовим розслідуванням було встановлено, що злочинці використовують для приховування своєї діяльності масштабну інфотехнологічну інфраструктуру, до якої відносяться десятки віртуальних серверів. В віртуальні сервери працівники організації об'єднуються через знаходжувані в центрах дзвінків термінальні комп'ютери з використанням VPN-з'єднання - т.зв. злочинна внутрішня мережа. На названих віртуальних серверах як розміщуються клієнтські бази, так і відбувається (злочинне) спілкування між собою і підтримання контакту з потерпілими. Процесуальними діями було встановлено, що названі віртуальні сервери розміщені в основному в хостинговому підприємстві ІНФОРМАЦІЯ_4 , зареєстрованому у Франції, а також в підприємстві ІНФОРМАЦІЯ_5 , чинному в Німеччині. Для встановлення публічних реєстрових даних цих IP-адрес, копіювання розміщених даних та добуто netflow влітку 2020 року було відправлено Європейський ордер на розслідування до Франції і в Німеччину
З відповіді, отриманого 17.07.2020 р із Німеччині, видно, що в той час, коли естонська поліція збирала дані по названим IP, орендарем IP-адреси в ІНФОРМАЦІЯ_5 був: ІНФОРМАЦІЯ_6 ( ОСОБА_5 - ІНФОРМАЦІЯ_7 ; АДРЕСА_2 : НОМЕР_1 .
За спожиті послуги було заплачено двома кредитними картами:
НОМЕР_2 - дійсна до 06.2023 р - власник карти ОСОБА_6
( ОСОБА_7 );
НОМЕР_3 - дійсна до 09.2024 р - власник карти ОСОБА_8
( ОСОБА_9 );
З відповідей, отриманих 18.11.2020 р і Франції, видно, що в той час, коли естонська поліція збирала дані по названим IP, орендарями активного під час двох відповідей IP-адреси в OVH були:
ОСОБА_10 ( ОСОБА_5 ) - ІНФОРМАЦІЯ_7 ; Сортувальна 19, НОМЕР_4 , Україна; НОМЕР_1 ; ОСОБА_11 ( ОСОБА_12 ) - ІНФОРМАЦІЯ_8 ; Казакова НОМЕР_5 , Дніпро, Україна: НОМЕР_6 .
За послуги OVH було заплачено наступними кредитними картами, які частково співпадали, вказуючи на зв'язок зі своїми рахунками Д. Телупи і ОСОБА_13 і їх загальному веденню:
462705XXXXXX7104 JSC CB Privatbank; Dnipropetrovsk; UKRAINE 522119XXXXXX0567 JSC CB Privatbank; Dnipropetrovsk; UKRAINE
516875XXXXXX6824 JSC CB Privatbank; Dnipropetrovsk; UKRAINE 462705XXXXXX6637 JSC CB Privatbank; Dnipropetrovsk; UKRAINE
516874XXXXXX1412 JSC CB Privatbank; Dnipropetrovsk; UKRAINE
444111XXXXXX4224 JSC Universal Bank; Kiev; UKRAINE
462705XXXXXX6637 JSC CB Privatbank; Dnipropetrovsk; UKRAINE 462705XXXXXX6637 JSC CB Privatbank; Dnipropetrovsk; UKRAINE 462705XXXXXX0531 JSC CB Privatbank; Dnipropetrovsk; UKRAINE 537541XXXXXX0190 JSC Universal Bank, Ukraine
537541XXXXXX8664 JSC Universal Bank, Ukraine.
При аналізі netflow, наявного у відповіді на Європейський ордер на розслідування, отриманому від Франції, з'ясувалося, що в повсякденному інтернет-потоці обох активних IP OVH в істотній частині постійно фігурував один і той же український IP-адреса НОМЕР_7 - ISP ( ІНФОРМАЦІЯ_9 ) ІНФОРМАЦІЯ_10 (Україна, Дніпро). Netflow був зафіксований два рази в проміжок часу з 30.08.2020 р до 12.10.2020р.
З отриманих з Франції відповідей з'ясувалося ще те, що спілкування, яке відбувалося за одними і тими ж акаунтами з ІНФОРМАЦІЯ_4 ) було також на тему домену ІНФОРМАЦІЯ_11 . Логотип того ж підприємства ІНФОРМАЦІЯ_3 - було також на вікні входу в програмне забезпечення для управління клієнтськими базами, використовуваними у внутрішній мережі злочинців (CRM).
ІНФОРМАЦІЯ_12 ( ОСОБА_12 ) є технічним директором (СТО) діючого в Україні підприємства ІНФОРМАЦІЯ_3 . Exyplis рекламував на своїй домашній сторінці, що займається створенням і адмініструванням ІТ-систем, а також наданням послуги центру дзвінків. Директором того ж підприємства є також ОСОБА_6 ( ОСОБА_7 ), кредитною карткою якого було заплачено за злочинні послуги, орендовані у ІНФОРМАЦІЯ_5 в Німеччині.
Ще в копіях серверів, переданих нам французькою владою, була знайдена стара база даних (управління клієнтами / потерпілими) в формі SQL (мова структурних запитів) програмного забезпечення CRM, яка в числі іншого містила дані про потерпілих і також призначені для користувача аккаунти в цьому програмному забезпеченні. Також в цьому середовищі мало місце бути кілька імен користувачів з закінченням ІНФОРМАЦІЯ_11 .
Злочинці спілкуються між собою для організації повсякденної роботи за допомогою декількох програмних забезпечень, таких як Skype, Wire, Telegram і Whatsapp. У той же час, розшуковою діяльністю було встановлено, що тільки обране коло осіб має доступ до каналів групових чатів, які перебувають в середовищі ІНФОРМАЦІЯ_13 , під загальною назвою ІНФОРМАЦІЯ_14 , де відбувається звітування отриманого доходу, організація повсякденної роботи по різним конторам / одиницям і т.д.
Розслідуваням було встановлено, що на благо цієї злочинної організації за останні 4 роки працювало близько 5000 осіб, але в середовищі ІНФОРМАЦІЯ_13 всього лише 260 акаунтів. Це, а також та обставина, що там обговорюється рух грошей, нові платформи, що відбуваються «в відділі retention» (відділ, де викачують найбільше грошей) рух та інші організаційні питання, вказує саме на свідому і загальну діяльність цих осіб для досягнення злочинної мети. Власником і творцем ІНФОРМАЦІЯ_14 в середовищі ІНФОРМАЦІЯ_13 є особа на ім'я ОСОБА_14 ( ОСОБА_15 ), який також сам брав участь восени 2016 року в організаційних питаннях, але потім створив інший, приховавши його ім'я, адміністраторський аккаунт « ІНФОРМАЦІЯ_5 ». Під цим аккаунтом він брав участь в чатах довго. У груповому чаті під назвою ІНФОРМАЦІЯ_14 в середовищі ІНФОРМАЦІЯ_13 призначені для користувача аккаунти є також у керівних працівників ІНФОРМАЦІЯ_3 : ІНФОРМАЦІЯ_15 ( ОСОБА_16 ), ІНФОРМАЦІЯ_12 ( ОСОБА_12 ), ІНФОРМАЦІЯ_16 ( ОСОБА_7 ), ІНФОРМАЦІЯ_17 ( ОСОБА_17 ( ОСОБА_18 ).
Останнє було встановлено при зіставленні користувачів групового чату і керівників підприємтсва, зазначених на домашній сторінці ІНФОРМАЦІЯ_3 в інтернеті.
Огляд даних середовища ІНФОРМАЦІЯ_13 показує, що розпочаті у вересні 2016 року групи чату були пов'язані з частини діяльності контори зі зведеним назвою ІНФОРМАЦІЯ_18 ( ІНФОРМАЦІЯ_19 ). За цим в кінці 2016 року пішла контора зі зведеним назвою ІНФОРМАЦІЯ_20 ( ІНФОРМАЦІЯ_21 ), і в подальшому також 9 інших контор, які є підстави підозрювати у скоєнні шахрайства. Є підстави пов'язувати контору ІНФОРМАЦІЯ_18 (Kaskad) з містом Дніпро в Україні, де знаходиться бізнес-центр під назвою « ІНФОРМАЦІЯ_22 », і в якому також веде діяльність ІНФОРМАЦІЯ_3 . З цього можна зробити висновок, що досліджувана злочинна організація діяла з 2016 року, і до сьогоднішнього дня у неї була сильна і конкретна зв'язок з підприємством ІНФОРМАЦІЯ_3 .
З аналізу чатів в середовищі Slack, а також на інших даних, зібраних в ході розшукової діяльності, слід, що з потерпілими з Естонії - або як безпосередньо які вчинили злочин, або як відповідальні за контору - додатково пов'язані щонайменше наступні особи:
• ОСОБА_14 ( ОСОБА_15 )
•
ОСОБА_19 (
ОСОБА_20
Запитувана сторона просить з'ясувати кінцевого користувача наступного IP-адреси в нижче вказаному проміжок часу:
1.1. 193.111.83.42 - ISP TOV Highload Systems - в проміжок часу з 30.08.2020 р по 12.10.2020 р.
1.2. Якщо вказаний IP-адреса пов'язаний з послугою hosting, видати фізичні копії пов'язаних даних.
1.3. Видати всі особисті і контактні дані кінцевого користувача зазначеного IP-адреси.
1.4. Видати всі пов'язані з зазначеним IP-адресою послуги, оплачені за них рахунки і дані по способам оплати.
Від слідчого надійшла заява, в якій останній просить розглянути клопотання без його особистої участі та без застосування засобів технічної фіксації.
Особа у володінні якої перебувають зазначені у клопотанні речі та документи у судове засідання не викликалась на підставі ч. 2 ст. 163 КПК України, у зв'язку з наявністю загрози зміни або знищення речей чи документів.
Дослідивши матеріали міжнародного доручення компетентних органів Естонської Республіки щодо надання міжнародної правової допомоги у кримінальній справі № 20230100190, вважаю клопотання обґрунтованим та таким, що підлягає задоволенню, оскільки, враховуючи потреби досудового розслідування, дані, викладені у матеріалах кримінального провадження, дають підстави для висновку, що речі та документи про надання тимчасового доступу до яких ставиться питання у клопотанні слідчого мають суттєве значення для встановлення важливих обставин у кримінальному провадженні, у зв'язку з чим застосування такого заходу забезпечення кримінального провадження є необхідним.
Враховуючи викладене, з метою досягнення дієвості кримінального провадження, керуючись ст. ст. 110, 163-166, 309, 369-372 та 395 КПК України, -
Дозволити слідчому СВ ВП №5 ДРУП ГУНП в Дніпропетровській області ОСОБА_3 , прокурору Правобережної окружної прокуратури міста Дніпра ОСОБА_4 тимчасовий доступ до документів, які знаходиться безпосередньо у власності компанії « ІНФОРМАЦІЯ_10 », ЄДРПОУ НОМЕР_8 , розташованій за адресою: АДРЕСА_3 , а саме:
Дані про кінцевого користувача наступного IP-адреси в нижче вказаному проміжок часу:
1.1. 193.111.83.42 - ISP TOV Highload Systems - в проміжок часу з 30.08.2020 р по 12.10.2020 р.
1.2. Якщо вказаний IP-адреса пов'язаний з послугою hosting, то видати фізичні копії пов'язаних даних.
1.3. Видати всі особисті і контактні дані кінцевого користувача зазначеного IP-адреси.
1.4. Видати всі пов'язані з зазначеним IP-адресою послуги, оплачені за них рахунки і дані по способам оплати.
Строк дії цієї ухвали 1 місяць з дня її проголошення. У разі невиконання ухвали слідчий суддя, суд в порядку ст.166 КПК України має право постановити ухвалу про дозвіл на проведення обшуку з метою відшукання та вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає. Заперечення проти неї можуть бути подані під час підготовчого провадження в суді.
Слідчий суддя ОСОБА_1