Rozbicie zorganizowanej grupy cyberprzestępców zajmującej się tworzeniem fałszywych sklepów internetowych, dystrybucją złośliwego oprogramowania oraz licznymi włamaniami systemowymi
Prokuratura Regionalna w Warszawie w ramach prac zespołu powołanego zarządzeniem Prokuratora Krajowego wspólnie z Wydziałem do Zwalczania Aktów Terroru Centralnego Biura Śledczego Policji, Wydziałem II Zarządu III Centralnego Biura Śledczego Policji, Wydziałem Analizy Kryminalnej Centralnego Biura Śledczego Policji, Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Gorzowie Wielkopolskim oraz Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Łodzi prowadzi śledztwo przeciwko Januszowi K., Kamilowi S., Łukaszowi K., Pawłowi K., Beacie P., Radosławowi S. i in.
Prokuratura Regionalna w Warszawie w ramach prac zespołu powołanego zarządzeniem Prokuratora Krajowego wspólnie z Wydziałem do Zwalczania Aktów Terroru Centralnego Biura Śledczego Policji, Wydziałem II Zarządu III Centralnego Biura Śledczego Policji, Wydziałem Analizy Kryminalnej Centralnego Biura Śledczego Policji, Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Gorzowie Wielkopolskim oraz Wydziałem dw. z Cyberprzestępczością Komendy Wojewódzkiej Policji w Łodzi prowadzi śledztwo przeciwko Januszowi K., Kamilowi S., Łukaszowi K., Pawłowi K., Beacie P., Radosławowi S., Joannie S., Mateuszowi S. i innym, którzy są podejrzani o popełnienie przestępstw z art.258§1 i §3 kk, art.286§1 kk, art.279§ 1 kk, art.299§ 1 kk, art.224 a kk i innych.
W sprawie podejrzanych jest łącznie 9 osób, a tymczasowe aresztowanie zastosowano wobec 7 z nich. Aktualnie, z uwagi na stan zaawansowania prowadzonego postępowania w areszcie pozostają 4 osoby, które zajmowały bardzo wysoką pozycję wśród polskich cyberprzestępców, aktywne na forach w DarkWeb (Cebulka, exploit.in), utrzymujące kontakty z hakerami z Rosji oraz Korei Północnej, dysponujące złośliwym oprogramowaniem.
W zakresie podejrzanego Kamila S., w toku śledztwa nawiązano współpracę z FBI i ustalono, że przeciwko niemu toczy się w USA postępowanie karne dotyczące dystrybucji złośliwego oprogramowania ransomware. W ramach prowadzonego postępowania polskie organy ścigania ściśle współpracowały z zespołem CERT Polska z NASK oraz zespołami analitycznymi AP Cyborg i AP Sustrans Europolu, który koordynował przeszukania zlecone Europejskim Nakazem Dochodzeniowym.
Dzięki spotkaniu operacyjnemu w Warszawie, możliwe było też uzyskanie analiz wykonanych przez Europol jak również pozyskanie danych od przedstawicieli J-CAT Europolu.
Wśród zatrzymanych są osoby odpowiedzialne za wysyłanie wiadomości o podłożeniu ładunków wybuchowych w przedszkolach, szkołach w Łęczycy oraz na Dworcu Zachodnim w Warszawie.
Do zatrzymania jednego z głównych sprawców kierującego ujawnionego procederem - Janusza K., doszło w listopadzie 2019 roku przez funkcjonariuszy Wydziału do Zwalczania Aktów Terroru Centralnego Biura Śledczego Policji wspólnie z funkcjonariuszami Wydziału II Zarządu III Centralnego Biura Śledczego Policji oraz Wydziału dw. Cyberprzestępczością Komendy Wojewódzkiej Policji w Gorzowie Wielkopolskim.
Zgromadzony materiał dowodowy pozwolił na zatrzymanie kolejnych osób, tj. Kamila S., Łukasza K., a dzięki współpracy i procesowej wymianie danych z Wydziałem dw. z Cyberprzestępczością Komendy Stołecznej Policji, zarzuty przedstawiono również zatrzymanej przez Wydział dw. z Cyberprzestępczością Komendy Stołecznej Policji osobie w randze tzw. „bankiera”, to jest Pawłowi K.
W śledztwie ustalono, że sprawcy byli odpowiedzialni m.in. za fałszywe alarmy bombowe, fałszywe sklepy internetowe, złośliwe oprogramowanie i infekowanie użytkowników Internetu oraz SIM SWAP.
Podejrzani Janusz K. oraz Łukasz K. byli odpowiedzialni są za przesłanie w dniu 23 maja 2019 roku informacji o podłożeniu ładunku wybuchowego w jednej ze szkół w Łęczycy oraz przesłanie w dniach 26 – 27 czerwca 2019 roku wiadomości elektronicznej na adresy poczty elektronicznej 1 066 placówek przedszkolnych zlokalizowanych na terenie całej Polski.
Treść rozesłanej wiadomości miała wywołać przekonanie o istnieniu zagrożenia dla życia i zdrowia wielu osób znajdujących się w budynkach przedszkoli oraz mienia w znacznych rozmiarach oraz doprowadziła do ewakuacji nie mniej niż 10 536 osób z co najmniej 275 placówek przedszkolnych kraju.
Mężczyźni ci są także odpowiedzialni są za przesłanie w dniu 17 lipca 2019 roku informacji o podłożeniu bliżej nieokreślonych ładunków wybuchowych na Dworcu Zachodnim w Warszawie.
Zleceniodawcą wysłania wiadomości o podłożeniu ładunków wybuchowych w szkołach w Łęczycy oraz przedszkolach na terenie całego kraju był Łukasz K., który szukał na forach „cyberprzestępczych” osoby, która pomogłaby mu zemścić się na dawnym wspólniku, z którym miał konflikt na tle rozliczeń finansowych. Na ogłoszenie Łukasza K. odpowiedział Janusz K., który podszywając się pod adres mailowy innej osoby, tj. Jakuba K. wysłał wiadomość o podłożeniu ładunków wybuchowych w szkołach w Łęczycy. Sprawcy próbowali również skompromitować żonę Jakuba K. publikując na jej temat materiały sugerujące, że przyjęła korzyść majątkową, kierowali pod jej adresem groźby karalne oraz nękali ją publikując m.in. jej numer telefonu na stronach z anonsami towarzyskimi w Internecie. Kiedy w sprawę nękania małżeństwa K. włączyło się znane biuro detektywistyczne, Janusz K. wykorzystując nieuprawniony dostęp do bazy danych jednego z największych operatorów telekomunikacyjnych i korzystając z przejętego systemu CRM, wygenerował na dane detektywa faktury na znaczne kwoty. Miała być to swoista „kara” za to, że przedstawiciel biura detektywistycznego podczas konferencji prasowej powiedział, że wypowiada im wojnę.
Janusz K. wspólnie z innymi ustalonymi osobami, zajmował się też tworzeniem i prowadzeniem blisko 50 fałszywych sklepów internetowych, doprowadzając w wyniku ich działania do oszustwa blisko 10 000 osób.
Zarejestrowane przez siebie domeny sprawcy wykorzystywali głównie do prowadzenia fikcyjnych sklepów internetowych, przy czym niektóre z nich służyły także do dystrybucji złośliwego oprogramowania, które posiadał podejrzany Kamil S. oraz podejrzany Janusz K. Oprogramowaniem tym podejrzani infekowali komputery oraz urządzenia mobilne z systemem Android, doprowadzając do zainfekowania co najmniej 1 000 osób z terenu całej Polski.
W ramach „fałszywych kampanii”, sprawcy podszywali się pod Krajową Administrację Skarbową, ZUS, KRUK, komorników a nawet pod Polską Policję wykorzystując przy tym dane Naczelnika Wydziału do Walki z Cyberprzestępczością KSP. Rozsyłali również linki do pobrania złośliwego oprogramowania na urządzenia mobilne, które imitowało ustaloną aplikację.
Jedna z zatrzymanych osób planowała zorganizowany atak przy pomocy oprogramowania szyfrującego ransomware, którego celem miało być zaszyfrowanie wielu tysięcy urządzeń i doprowadzenie do paraliżu administracji publicznej.
Na nośnikach podejrzanych zabezpieczono dane dotyczące kradzieży z włamaniem środków z rachunków klientów kilku banków, co było wynikiem uprzedniego wyrobienia przez sprawców duplikatu karty SIM. Po zainfekowaniu komputerów lub urządzeń mobilnych pokrzywdzonych, podejrzani uzyskiwali nieuprawniony dostęp do ich danych, pozyskiwali loginy i hasła do bankowości internetowej, numery PESEL oraz dane właściciela rachunku bankowego, na którym były pieniądze. Na dane pokrzywdzonych wyrabiali fałszywe dowody osobiste, uzyskując przy ich wykorzystaniu duplikaty kart SIM u operatorów telekomunikacyjnych. W chwili aktywowania duplikatu karty SIM, karta SIM osoby uprawnionej była deaktywowana i od tego momentu sprawcy przejmowali połączenia telefoniczne i wiadomości SMS, wśród których były wiadomości SMS zawierające kody do potwierdzania transakcji bankowych. Sprawcy logowali się do rachunku bankowego pokrzywdzonego i zlecali przelewy na rachunki służące do prania pieniędzy (zakładane na tzw. „słupy”) lub na giełdy kryptowalut.
Śledztwo obejmuje m.in. przestępstwo kradzieży środków w kwocie 199.000 zł, przestępstwa kradzieży z włamaniem pieniędzy w łącznej kwocie 220 000 zł i 243.500 zł na szkodę ustalonych pokrzywdzonych a także usiłowanie kradzieży z włamaniem pieniędzy w łącznej kwocie 7 900 000 zł na szkodę spółki akcyjnej.
To wielowątkowe i wieloosobowe postępowanie jest skomplikowane z uwagi na wykorzystywanie przez sprawców licznych technik działania opierających się na wiedzy informatycznej i umiejętnościach maskowania swojej przestępczej działalności w sieci.
W śledztwie badane są liczne czyny zabronione popełnione na szkodę kilkunastu tysięcy pokrzywdzonych, a uzyskany, bardzo obszerny materiał dowody obejmuje kilkaset tomów akt.
Nadal trwają liczne czynności procesowe, których celem jest wszechstronne wyjaśnienie wszystkich ujawnionych dotychczas okoliczności i ustalenie kolejnych osób pokrzywdzonych.
Rzecznik Prasowy
Prokuratury Regionalnej w Warszawie
Prokurator
Agnieszka Zabłocka – Konopka