Иностранные рабочие, местные спонсоры: как устроены схемы кибермошенничества с отелями на Палау

Документы, полученные в ходе расследования, раскрывают, как функционируют два центра мошенничества на тихоокеанском острове Палау. Они также показывают, как местная элита и неэффективные законы способствуют процветанию этой сложной отрасли, сообщает occrp.org.

В ходе упомянутого рейда в отеле Cocoro полиция обнаружила нечто далекое от идеальной картины, которую обычно рисуют о Палау, словно с открытки.

Такое зрелище стало тревожной нормой в Азиатско-Тихоокеанском регионе.

Во время операции были выявлены все признаки функционирования центра кибермошенничества, который подпитывает жестокую индустрию мошенничества в Азии, в значительной мере контролируемую китайскими преступными группировками.

Подобные центры часто используют людей, подвергшихся торговли людьми и насилию, чтобы обманывать жертв через интернет, применяя романтические схемы, азартные игры и инвестиционные уловки. Каждый год, по оценкам, кибермошенники крадут более 60 миллиардов долларов у людей по всему миру. Эти мошеннические схемы получили название «забой свиней», что подразумевает метод завоевания доверия жертв перед тем, как мошенник нанесет удар и опустошит их счета.

Кибермошенничество, сосредоточенное в Юго-Восточной Азии, стало настолько серьезной проблемой, что в середине октября США и Великобритания объявили о санкциях против ряда подозреваемых мошенников и о конфискации биткоинов на сумму 15 миллиардов долларов, связанных с Чен Чжи, генеральным директором Prince Group, который был признан транснациональной преступной организацией. (Prince Group отвергла обвинения как безосновательные и заявила, что не занималась незаконной деятельностью).


На телефоне Чэнь Чжи были найдены изображения, которые, как предполагается, демонстрируют злоупотребления со стороны сотрудников мошеннических центров Prince Group.

Хотя недавние санкции в основном касались Камбоджи, семь человек, связанные с инвестициями в Палау, также оказались на прицеле, что указывает на то, что это островное государство стало центром кибермошенничества.

Недавние документы, полученные OCCRP, раскрывают детали работы в отеле Cocoro и аналогичной операции в Beluu Sea View Resort, которая была раскрыта две недели назад. Документы содержат отчеты о расследованиях Палау, результаты цифровой криминалистики и внутренние файлы мошенников.

В них описана сложная бизнес-модель, в рамках которой около двадцати работников из Китая и Вьетнама, некоторые из которых, вероятно, работали в условиях принуждения, использовали заранее подготовленные сценарии для поиска жертв через китайскоязычные азартные сайты. По словам Джея Хантера Энсона, специалиста по информационной безопасности в Министерстве финансов Палау, одна из операций генерировала не менее 200 000 долларов в месяц, а выручка переводилась за границу с использованием криптовалюты.

Несмотря на эти данные, неизвестно, ведутся ли активные расследования в отношении данных центров. Управление по координации национальной безопасности Палау и другие правоохранительные органы не ответили на запросы о том, последовали ли за рейдами какие-либо судебные меры или дальнейшие расследования.

По словам Энсона, мошеннические схемы на Палау становятся «все более наглыми», и в то же время у островного государства недостаточно ресурсов для борьбы с данной проблемой.

В стране отсутствуют законы, регулирующие киберпреступность, — заявил он OCCRP. Хотя в ходе рейдов было задержано как минимум 12 работников, их просто депортировали, так как в стране нет правовых возможностей для возбуждения уголовных дел, добавил он.

Существует также другая проблема. Как утверждает Энсон, мошеннические сайты часто «поддерживаются местными посредниками, которые используют свое положение для содействия, сокрытия или легализации незаконной деятельности».

Один из недавно раскрытых центров функционировал незаметно в течение примерно двух с половиной лет в этом маленьком островном государстве с населением всего 18 000 человек.

Из материалов дела следует, что многие работники центров, подвергшихся рейдам в январе, имели рабочие визы, спонсируемые строительными и IT-компаниями, принадлежащими местной политической и деловой элите Палау, включая владельца отеля Cocoro, Вэнса Поликарпа, который до начала этого года был членом совета банковского регулятора Палау, назначаемым президентом страны. Он не ответил на запросы о комментариях, и в материалах дела нет дополнительных доказательств его причастности к мошенническому сайту.


Аэрофотоснимок Палау.

Как уже сообщалось ранее OCCRP и местные СМИ, это не первый случай, когда известные жители Палау были замешаны в помощи иностранцам, которые позднее были арестованы в ходе операций по борьбе с мошенничеством.

Что ещё показывает этот недавно обновлённый кэш файлов?

«Под пристальным наблюдением»

Во время рейдов в январе были изъяты улики, указывающие на то, что работники предполагаемых мошеннических центров происходят из Китая, Малайзии и Вьетнама, и некоторым из них давали китайские прозвища, такие как «Акула», «Высокий и элегантный» и «Маленький герой».

Согласно электронным таблицам, найденным на изъятых устройствах, 21 человек числился «сотрудником» операции в отеле Cocoro с 2023 года или ранее.


Отель Cocoro в Кокоре, Палау.

Все они имели рабочие визы, спонсируемые компаниями, принадлежащими местным жителям, включая Поликарпа и бывшего вице-президента страны Элиаса Камсека Чина.

В другом предполагаемом центре мошенничества в Beluu Sea View Resort двое задержанных также имели визы, спонсируемые компаниями Поликарпа, согласно документам, полученным OCCRP.

Чин, бывший вице-президент, который, как было сообщено, также спонсировал визы восьми граждан Китая, арестованных в ходе мошеннической операции в 2020 году, отрицал любые правонарушения и заявил, что работники, которых он спонсировал, попали в зону рейдов, потому что были в гостях у друзей в отеле.

«Они не имели отношения к мошенничеству. Они находились в месте, где проводился рейд, но не были мошенниками. Они были там, потому что в этом отеле жили их друзья», — сказал он.



Элиас Камсек Чин, бывший вице-президент Палау.
К Чину не предъявлено никаких обвинений и не ведется расследование.

В ходе криминалистического анализа устройств, изъятых во время рейда частной фирмой, нанятой службой безопасности Палау, было установлено, что персонал отеля Cocoro «тщательно отслеживался» с помощью «сложной системы управления персоналом». 

В отчете не раскрывается, кто стоял за этой операцией, но упоминаются внутренние файлы, указывающие на «структурированную транснациональную преступную организацию, действующую под прикрытием IT- и строительных компаний». Все компании, указанные в файлах как работодатели, принадлежали Поликарпу или Чину, согласно корпоративному реестру Палау.

На запрос прокомментировать отчет, Чин ответил: «Моим сотрудникам не предъявлялись обвинения в азартных играх или незаконной деятельности, как вы указали, поэтому я не могу комментировать, поскольку ничего не знаю об этих обвинениях».

В отчете, подготовленном Управлением национальной безопасности Палау, сказано, что некоторые из задержанных рабочих, большинство из которых были около 20 лет, «признались, что не покидали здание в течение последних месяцев или даже лет, работая там». Также упоминается, что эти показания подтверждаются «наблюдениями за доставкой еды из китайского ресторана» в течение восьми месяцев.

Подобная изоляция является характерной чертой для схем с «забоем свиней» по всему миру, утверждает Эрин Вест, президент некоммерческой организации Operation Shamrock, занимающейся борьбой с мошенничеством.

«Запрет на выезд на месяцы или даже годы — это безумие», — отмечает она в разговоре с OCCRP. — «Это невероятно долгий срок, в течение которого они застряли, и это хорошо согласуется с тем, что мы наблюдаем в других местах».

Методы мошенничества: копирование и вставка

Экспертами-криминалистами было установлено, что файлы на компьютерах предполагаемых мошенников доказывают, что эти центры являются частью сети, занимающейся онлайн-играми, которые запрещены в материковом Китае, а также мошенничеством с криптовалютами.

На одном из устройств, изъятых в Beluu Sea View Resort, были найдены файлы и приложения для организации и продвижения онлайн-лотереи «6688 Caipiao», ориентированной на китайскоязычных клиентов.



Источник: Ciberseguridad 720
Скриншот отчета о судебно-криминалистической экспертизе, отображающий одно из изображений, связанных с онлайн-лотерейной платформой, найденных на компьютерах, использовавшихся в Beluu Sea View Resort.

Согласно отчету, подготовленному для правительства Палау аналитиками частной компании по кибербезопасности, в документах также содержатся указания на китайском языке, предписывающие работникам использовать манипулятивные методы для привлечения жертв, а также возможные подтасовки результатов ставок.

В отчете описывается, что в одном из документов представлены «два метода обмана клиентов»: 
«Предложите привлекательный бонус, а затем измените условия получения после того, как клиент внесет деньги». 
«Используйте эмоциональные приемы для манипуляции клиентом и убедите его внести больше средств». 

Изображение чатов на одном из компьютеров, найденных в ходе рейда.

Анализ блокчейн-записей также выявил «сложную мошенническую схему с использованием криптовалюты», согласно отчету киберкриминалистов, подготовленному финансовой разведкой Палау. Мошенники якобы вносили бесполезные цифровые токены в кошельки более двух миллионов пользователей популярной платформы для криптовалют Tron. Пользователи, пытавшиеся обменять токены, затем теряли конфиденциальные данные и средства на своих счетах.

По словам Энсона, за восемь месяцев эта схема принесла не менее 1,6 миллиона долларов.

Согласно отчету, файлы, изъятые из отеля Cocoro, некоторые из которых были зашифрованы, показывают, что центр использовал детализированные инструкции о том, как привлекать жертв к азартным играм на различных веб-сайтах. Имена организаторов операции не раскрыты, но в отчете рекомендуется, чтобы власти Палау координировали свои действия с международными правоохранительными органами.

По словам автора отчета OCCRP, мошенники, по всей видимости, управляли такими сайтами из бэкэндов, что позволяло им изменять сумму на счетах, предлагать нереальные бонусы и скрывать убытки, создавая у пользователей иллюзию успешной игры.

Заключительные выводы отчета подчеркивают, что файлы «явно указывают на наличие скоординированной преступной сети, действующей под прикрытием онлайн-игрового бизнеса». 

«Существует серьезная вероятность, что их деятельность выходит за рамки азартных игр», — добавлено в отчете. «Это может включать в себя использование вредоносного программного обеспечения, что может привести к заражению систем жертв, осуществлению мошенничества и расширению преступной сети через несанкционированный доступ».

Джарод Бейкер, соучредитель консалтинговой компании Pacific Economics, прокомментировал обе операции, отметив, что они имеют схожие принципы работы с другими мошенническими центрами, предположительно контролируемыми китайской организованной преступностью, которые были выявлены в Палау в последние годы.

«Незаконные азартные игры, кибермошенничество, отмывание криптовалюты, утечка личных данных и эксплуатация рабочей силы — все это характерные черты китайских транснациональных организованных преступных групп», — отметил он.

Бейкер также добавил, что схемы, выявленные в январе, вероятно, аналогичны схемам, разоблаченным в Палау в 2020 году, когда работники также получали визы от Чина.

«Мы наблюдаем, как те же посредники привозят этих сотрудников или нанимают их в качестве IT-специалистов для своих компаний», — заключил он. «Это одни и те же люди, просто они работают под разными названиями компаний».

Следователи, использующие цифровую криминалистику для отслеживания денежных потоков из Белуу, смогли отследить платежи, отправленные через криптовалютную платформу Tron. OCCRP выяснила, что один из цифровых кошельков, получивших средства, был связан с Huione Group, камбоджийским финансовым конгломератом, попавшим под санкции США за предполагаемое отмывание доходов от мошеннических схем в Юго-Восточной Азии.

Huione не ответила на многочисленные запросы о комментариях.

Выход на глобальный рынок

Несмотря на недавние санкции со стороны США и Великобритании и растущее давление со стороны властей Юго-Восточной Азии, мошеннические центры, работающие по модели «забоя свиней», продолжают распространяться за пределы национальных границ.



Источник: Хорхе Сантос/Викимедиа Коммонс
Согласно отчету Управления ООН по наркотикам и преступности, власти обнаружили доказательства существования мошеннического центра в Оэкуссе-Амбено, эксклаве Восточного Тимора.

В апрельском отчете Управления ООН по наркотикам и преступности (УНП ООН) описано распространение мошеннических схем по всему миру, отмечая, что синдикаты из Восточной и Юго-Восточной Азии расширяют свою деятельность на новые рынки, включая Батуми в Грузии.

В сентябре агентство выпустило предупреждение о рисках, указывая на то, что организованные преступные группы начали проникать в Восточный Тимор, ссылаясь на августовский рейд, в ходе которого были найдены доказательства существования мошеннического центра в отдаленном эксклаве Оэкуссе-Амбено.

В отчете также упоминается, что игровая компания, расположенная в этом регионе, связана с мошенническими операциями в Камбодже и с находящимся под санкциями китайским преступником Ван Куок Каем, который вел бизнес на Палау.

«Движение в Восточный Тимор демонстрирует устойчивость сектора и его способность стратегически адаптироваться и выходить на новые рынки и в зоны конфликта», — говорится в отчете.

Из-за ограниченных возможностей правоохранительных органов Палау остается привлекательным местом для организованных преступных группировок.

«В Палау сохраняется угроза организованных мошеннических схем», — отметил Энсон. «Как показали рейды, эти сети сильно зависят от доступа к инсайдерской информации и защиты, чтобы поддерживать хищнические инвестиции и скрывать поток средств».