Chainalysis – Крипто-преступность 2021. Часть 1

2 апреля 2021 г. 16:09
 6299

Отмывание денег - ключ к крипто-валютной преступности. Основная цель кибер-преступников - обфусцировать источник средств и конвертировать крипто-валюту в наличные деньги

Введение.

Крипто-криминал в 2020 году: мошенничество и теневой рынок лидируют по обороту, но шифровальщики – отдельная большая история.

2020 был великолепным годом для крипто-валют. Несмотря на все глобальные потрясения Bitcoin побил все рекорды по росту, в основном из-за резкого роста спроса на него со стороны институциональных инвесторов – чего уже долгое время ожидали многие в крипто-валютном сообществе.

Тем не менее, крипто-валюты остаются привлекательными для криминальных элементов, в первую очередь из-за их псевдо-анонимности и простоты переводов в любую точку мира, даже несмотря на их «прозрачный» и теоретически отслеживаемый дизайн. Но хорошая новость в том, что уровень связанной с крипто-валютами преступности значительно снизился в 2020 году.

Рис.1: Общий объем криминальных крипто-валютных операций и с доля криминальной активности в сфере крипто-валют в 2020 году

В 2019 году криминальная деятельность составляла 2,1% от общего объема крипто-валютных операций или примерно $21,4 млрд. В 2020 году незаконная доля всей крипто-валютной деятельности сократилась до всего 0,34%, или $10 млрд. в объеме трансферов. Одна из причин падения доли преступной активности - общая активность рынка крипто-валют почти утроилась за период с 2019 по 2020 год.

Следует отметить, что на момент написания прошлогоднего отчета незаконная доля крипто-валютной активности в 2019 году оценивалась в 1,1%. Причиной изменения является позднейшее выявление множества крипто-валютных кошельков, связанных с криминальной деятельностью, которая осуществлялась в 2019 году. Большинство из этих кошельков были связаны с известной аферой PlusToken. Некоторые кошельки также оказались связаны с ранее не зарегистрированными атаками шифровальщиков. Поэтому в 2020 году также ожидается рост данного показателя по мере выявления новых кибер-преступлений с применением крипто-валют.

Тем не менее есть три хорошие новости: связанная с крипто-валютами преступность снижается, она продолжает оставаться лишь небольшой частью общей крипто-валютной экономики, и она сравнительно невелика по сравнению с суммами криминальных средств в  традиционных финансах.

Какие же виды преступлений стали причиной этих 0,34% криминальных крипто-валютных операций в 2020 году?

Рис.2: Объем криминальных крипто-валютных операций в 2017-2020 годах по видам

На рисунке 2 показано в каких видах преступлений участвовал наибольший объем крипто-валютных переводов с 2017 по 2020 год. Обратите внимание, что этот график отличается от первого: он показывает только объемы полученной криминальными элементами крипто-валюты, что обычно и ассоциируется с криминальными доходами, и не учитывает отправленные с принадлежащих преступникам кошельков средства (которые обычно связаны с отмыванием средств). На рисунке 3 показаны ежемесячные суммы, полученные разными типами криминальных структур в течение года.

Рис.3: Объем криминальных крипто-валютных операций в 2020 году по месяцам

Как и в 2019 году, мошенничество – самый популярный вид преступлений, связанных с blockchain - 54% или примерно $2,6 млрд. крипто-валютных поступлений. Однако и общий объем  и доля  мошенничества значительно меньше, чем в 2019 году, так как в 2020 году не было кейсов, сравнимых с огромной  аферой PlusToken Ponzi, которая увела более $2 млрд. у миллионов жертв. Криминальные сделки на рынках в Darknet вновь оказались второй по объему категорией преступлений, составив $1,7 млрд. по сравнению с $1,3 млрд. в 2019 году.

Серьезная история среди крипто-валютных преступлений в 2020 году - это шифровальщики. Это может прозвучать противоречиво так как выплаты выкупа по шифровальщикам составили всего 7% от средств, полученных преступникам - чуть менее $350 млн.  в крипто-валюте. Но эта цифра представляет собой рост в 311% по сравнению с 2019 годом. Ни одна другая категория преступлений не показала такого роста в 2020 году, когда благодаря эпидемии COVID-19 и массовому переходу на удаленную работу появилось множество новых уязвимостей для многих организаций.

Рис.4: Рост объема переводов крипто-валют в разрезе различных видов преступлений

Стоит помнить что оценку суммы выкупа всегда следует рассматривать по нижней границе в связи с недостатком информации. Сумма по выплатам выкупа в 2020 году, вероятно, будет расти по мере того как будет появляться больше обнародованных данных и кошельков, связанных с различными видами шифровальщиков -  особенно в последние месяцы года. Помимо цифр ущерба стоит отметить что преступления с применением шифровальщиков  неповторимо разрушительны -  атаки могут остановить работу местных органов власти и предприятий на  несколько недель. Нападениям подвергаются в том числе и учреждения сферы здравоохранения, и это в разгар пандемии. Нужно учитывать общий экономический ущерб не только от выплаты выкупа, но и от остановки работы предприятий и государственных служб - некоторые эксперты оценивают  ущерб от шифровальщиков в 2020 году в $20 млрд.

В этом отчете мы рассмотрим не только данные по крипто-валютным преступлениям, но и заглянем за сухие цифры статистики. Анализ коснется нескольких тенденций, в том числе:

  • Почему экосистема шифровальщиков может быть меньше, чем кажется на первый взгляд, и что это значит для правоохранительных органов;
  • Как небольшая группа теневых крипто-валютных служб, в основном работающих в тени крупных бирж, проводит большую часть операций по отмыванию денег, что позволяет кибер-преступникам иметь огромную прибыль;
  • Уникальная уязвимость платформы DeFi а также то, как кибер-преступники например, «Lazarus group» использует DeFi для отмывания денег
  • Почему так много Darknet-рынков закрылись в 2020 году.
  • И не только!

Понимая эти тенденции правоохранительные и регулирующие органы, а также частные лица и коммерческие организации смогут работать вместе в целях дальнейшего снижения уровня преступности в сфере крипто-валют. Данное обширное исследование будет выходить в нескольких частях, следите за обновлением публикаций и спасибо за чтение!


Chainalysis – Крипто-преступность 2021. Часть 1. Отмывание нелегальных средств.

270 кошельков отмывают 55% всех нелегальных средств в крипто-валютах.

Отмывание денег - ключ к крипто-валютной преступности. Основная цель кибер-преступников, которые крадут крипто-валюту или принимают ее в качестве оплаты за нелегальные товары - обфусцировать источник средств и конвертировать их крипто-валюту в наличные деньги, которые можно законно потратить или хранить в банке. Конечно, благодаря усилиям правоохранительных органов и профессионалов в области комплаенса по всему миру, кибер-преступники не могут просто вывести средства через крипто-валютную биржу и обналичить, как это сделал бы обычный пользователь. Вместо этого они полагаются на удивительно небольшую группу поставщиков услуг по выводу нелегальных крипто-активов. Некоторые из них специализируются на услугах по отмыванию денег, в то время как другие представляют из себя просто большие крипто-валютные биржи и финансовые сервисы с уязвимыми программами комплаенса. Следователи могут существенно подорвать способность кибер-преступников конвертировать крипто-валюту. в наличные деньги путем закрытия таких полу-легальных сервисов, тем самым сокращая и мотивацию кибер-преступников использовать крипто-валюту в своей незаконной деятельности.

Кто эти поставщики услуг по отмыванию денег? Во-первых, давайте посмотрим на сервисы, которые получали средства из преступных источников за последние несколько лет.

Рис.5: Получатели переводов с нелегальных кошельков 2017-2020. Валюты: BAT ,BCH, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDC, USDT

Исторически сложилось так, что основным пунктом назначения переводов криминальных средств были крупные биржи, и это не изменилось в 2020 году. Фактически, доля всей криминальной крипто-валюты получаемой биржами несколько выросла в 2020 году.

Мы также видим значительный рост переводов с криминальных кошельков на сервисы, которые мы относим к категории «рискованные» - это биржи с высоким риском, онлайн-казино, миксеры и сервисы, базирующиеся в юрисдикциях с высоким уровнем риска. Интересные тенденции наблюдаются, когда мы рассматриваем на конкретные рискованные сервисы в разрезе получения средств от различных видов крипто-валютных преступлений.

Рис.6: Получатели переводов с нелегальных кошельков по типу криминальной активности 2020. Валюты: BCH, BTC, ETH, LTC, OMG, PAX, USDC, USDT

Наиболее популярные категории рискованных сервисов по отмыванию денег схожи для каждого типа криминальной активности, но мошенники - исключение. Мошенники с гораздо большей вероятностью отмывают средства в онлайн-казино - тенденция, которая началась в 2020 году и лучше всего иллюстрируется аферой Mirror Trading International, которую мы опишем далее в этом отчете. Также довольно часто мошенники используют сервисы, расположенные в юрисдикциях с высоким уровнем риска.

Стоит также взглянуть на отмывание денег через призму географии:

Рис.7: Георгафическое положение получателей средств с нелегальных кошельков. Валюты: BAT, BCH, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDC, USDT

Наибольший объем крипто-валюты с криминальных кошельков на основе разбивки мест расположения пользователей для услуг, получающих эти средства, поступает в следующие страны:

  • Соединенные Штаты
  • Россия
  • Китай
  • Южно-Африканская Республика
  • Великобритания
  • Украина
  • Южная Корея
  • Вьетнам
  • Турция
  • Франция

Рис.8: Топ-5 стран-получателей крипто-валюты в разрезе типа криминальной деятельности. Объем подсчитан на основе web-трафика сервисов-получателей нелегальных средств.

Первая заметная тенденция - это получение Россией непропорционально высокой доли средств от сделок на рынках Darknet, в основном это происходит благодаря рынку Hydra. Hydra – крупнейший по обороту в мире Darknet-рынок, и работает он исключительно в России и других русскоязычных странах в Восточной Европе. Китай выделяется тем, что получает непропорционально большой объем средств с кошельков, связанных с кражами и шифровальщиками. Часть этого потока может быть связана с деятельностью Lazarus Group – хакерской группы, предположительно связанной с правительством Северной Кореи. Недавний были выявлены два китайских гражданина, которые работали с Lazarus Group в сфере отмывания краденной с крипто-бирж валюты. Аналогичной деятельностью могут заниматься и китайские пользователи крипто-валют. В то же время США получают крупные объемы средств  с кошельков, связанных с мошенничеством и кражами.

Кто же эти провайдеры услуг по отмыванию средств?

Как мы обсуждали выше, большинство отправленных с криминальных кошельков  средств попадают на депозитные кошельки крупных крипто-бирж, рискованных сервисов - биржах с высокой степенью риска (например, с неточными или несуществующими программами по обеспечению комплаенса), миксеров, онлайн-казино или сервисов, расположенных в юрисдикциях с высоким уровнем риска. Часть кошельков-получателей, скорее всего, контролируются самими отправителями. Мы знаем от наших партнеров-правоохранителей и через собственные расследования что многие из этих кошельков принадлежат сторонним сервисам, которые - прямо или косвенно - предоставляют кибер-преступникам услуги по отмыванию денег.

Эти сторонние сервисы в значительной степени подпадают под широкую категорию, называемую «вложенными сервисами». Вложенные сервисы работают внутри крупных бирж заимствуя у них ликвидность и торговые пары крипто-валют. С точки зрения анализа blockchain это означает, что в норме операции вложенных сервисов будут отображаться как проведенные через базовую платформу, на которой размещен вложенный сервис. Распространенные примеры вложенных сервисов – брокеры внебиржевых сделок и мгновенные обменники. Существует большая вариативность объемов незаконной наличности, которые вложенный сервис может через себя провести - некоторые из них соответствуют требованиям регуляторов настолько же как и основные биржи, в то время как другие, как представляется, целенаправленно обслуживают именно кибер-преступников. Многие видятся крупными компаниями, для которых незаконная деятельность составляет лишь небольшую долю от общего объема сделок, что позволяет предположить что нелегальные средства, скорее всего, случайно попадают в законный оборот из-за неточной политики комплаенса. Однако, часть этих депозитных кошельков получают столь высокую долю своих средств с криминальных кошельков, что случайность тут невозможна – такие сервисы просто не смогут работать не обслуживая кибер-преступников.

Далее мы расскажем, что нам известно об депозитных кошельках, способствующих отмыванию денег, начиная с их хостинг - сервисов.

Отправляемая с нелегальных кошельков крипто-валюта имеет тенденцию собираться всего лишь на нескольких сервисах. Ниже показана доля незаконных средств, направляемых в пять сервисов, получающих наиболее незаконные средства каждый год, начиная с 2017 года, как в целом, так и в разбивке по видам преступлений. Два самых крупных сервиса оставались лидерами на протяжении трех лет наблюдений, на третьем, четвертом и пятом местах наблюдаются некоторые изменения. Первые два сервиса каждый год получают  больше чем остальные три вместе взятые. В целом, в 2020 году эти пять ведущих сервисов получили 55% от всех средств, отправленных с нелегальных кошельков.

Рис.9: Процент нелегальных средств, направляемых на топ-5 сервисов 2017-2020. Валюты: BAT, BCH, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDC, USDT

 

Рис.10: Процент нелегальных средств, направляемых на топ-5 сервисов 2017-2020 в разрезе видов криминальной деятельности. Валюты: BAT, BCH, BTC, ETH, LTC, MKR, OMG, PAX, TUSD, USDC, USDT

Примечательно что связанные с шифровальщиками кошельки проявляют наибольшую активность по отправке средств на топ-5 сервисов, 78% в 2020 году.

Но что произойдет если мы копнем глубже - отойдем от сервисов и взглянем на отдельные депозитные кошельки? На графике ниже мы рассмотрим все депозитные кошельки, которые получали в 2020 году любые незаконные средства в разбивке по объему полученных средств.

Рис.11: Поступления нелегальных средств по депозитным кошелькам 2020. Валюты: BTC

Комментарий к графику на рис.11: Этот график показывает кошельки сервисных депозитов сгруппированные по объему криминальных крипто-валютных поступлений на каждый кошелек в 2020 году. Каждая синяя полоска представляет собой число кошельков в группе, каждая оранжевая полоса представляет собой общую сумму полученной незаконной крипто-валюты по всем депозитным кошелькам в группе. Используя первую группу в качестве примера, мы видим, что 1 138 030 депозитов получили криминальной крипто-валюты на сумму от 0 до $100, а всего эти депозиты получили $13 млн.

Деятельность по отмыванию денег еще более концентрирована на уровне депозитных кошельков. Фактически из приведенных выше данных видно что группа из всего 1 867 депозитов в 2020 году получила 75% от всего объема средств, отправленных с криминальных кошельков. Еще меньшая группа из 270 депозитов получила 55%. Говоря о суммах - эти 270 депозитных кошельков в совокупности получили в 2020 году нелегальную крипто-валюту на сумму $1,3 млрд., и a еще более узкая группа из всего 24 кошельков получила в 2020 году более $500 млн. Этот уровень концентрации выше чем в 2019 году. Ниже мы рассматриваем как изменилась доля нелегальных переводов с 2019 по 2020 год с аналогичной группировкой значений.

Рис.12: Поступления нелегальных средств по депозитным кошелькам 2019-2020. Валюты: BTC

Мы видим гораздо большую долю нелегальной крипто-валюты направляемой на депозитные кошельки группы от $1 млн. до $100 млн. в год.

Мы считаем, что растущая концентрация получающих нелегальную крипто-валюту депозитных кошельков, отражает растущую зависимость кибер-преступников от небольшой группы брокеров и сервисов, специализирующихся на отмывании денег. В продолжении расследования мы решили более подробно присмотреться к 270 депозитных кошелькам, на которые было переведено более $1 млн. с криминальных кошельков в 2020 году. На диаграмме на рис.13, мы отобразили кошельки исходя из общей суммы, полученной ими с криминальных кошельков в проценте от общей доли переводов.

Рис.13: Депозитные кошельки с оборотом от 1$ млн. в 2020: Поступления криминальных средств в проценте от общего объема переводов. Валюты: BTC

Хотя эти 270 замешанных в отмывании депозитных кошельков и проявляют большую нелегальную финансовую активность, законная деятельность также составляет значительную часть от общего объема их транзакций -  особенно тех кошельков, которые получили менее $25 млн. в крипто-валюте с криминальных кошельков. Фактически, криминальные переводы составляют менее 10% от общего количества крипто-валюты, полученной многими из этих депозитов. Это говорит о том, что отмывание денег через эти депозитные кошельки вполне может быть непреднамеренным и обусловленным недостатками комплаенса своих платформ.

Однако мы не видим таких признаков ни по одному из депозитов, получающих более $25 млн. криминальных переводов. Такие кошельки получают как минимум 34% от общего объема средств, полученных из незаконных источников, причем для большей части из них эта цифра превышает 50%. Трудно поверить, что эти сервисы получают столь высокий процент криминальных средств случайно - тех из них, которые представляют собой вложенные сервисы, вряд ли выживут как бизнес без этих средств - так что мы характеризуем эти депозитные кошельки как практически полностью работающие на кибер-преступников.

Ниже мы расширяем наш набор депозитов и включаем в него все получившие какие-либо криминальные средства в 2020 году с разбивкой по доле поступления крипто-валюты криминального происхождения. Мы видим, что получающие наибольшее количество криминальных средств кошельки -  это те, для которых криминальные переводы составляют наибольшую часть от всех полученных средств. Другими словами – эта небольшая группа специализируется именно на отмывании.

Рис.14: Соотношение легальных и криминальных переводов на депозитные кошельки 2020. Валюты: BTC

55% всех криминальных поступлений направлены на депозиты, для которых эти поступления являются составляют 50% и более от общего оборота. Эта цифра возрастает до 71% для кошельков где более 30% оборота – криминальные. Иными словами, значительная доля отмывания денег в крипто-валюте не попадает в поле зрения крупных сервисов и не может быть ими отслежена, а активно использует вложенные сервисы для которых отмывание является ключевой частью бизнес-модели. Правоохранительные органы могут существенно ограничить возможности кибер-преступников по конвертации крипто-валюты в наличные деньги путем выявления и преследования владельцев таких депозитных кошельков. Кроме того, это означает что хостеры этих депозитных кошельков, большинство из которых размещены на вложенных сервисах крупных бирж, должны быть более внимательными в мониторинге их операций. Хостеры также могут сделать экосистему крипто-валют безопаснее, если будут активнее бороться с подобной нелегальной деятельностью.

Следует также отметить, что даже некоторая часть некриминальных переводов на эти депозиты крайне подозрительна и может представлять собой отмывание денег, связанных с оффлайн-криминальной деятельностью - иными словами, злоумышленники пытаются спрятать криминальную наличность путем обмена ее на крипто-валюты. Мы раскроем данный элемент крипто-валютного отмывания денег в примере в завершении этого раздела.

В целом, данные свидетельствуют о том, что большинство криминальных денежных средств направляются на депозитные кошельки для которых отмывание денег составляет огромную часть их деятельности, к указывают на то, что у многих из этих кошельков, похоже, нет другой цели существования. Меньшая, но все же значительная часть идет на кошельки совершающих большой объем легальных сделок депозитов, что может позволить незаконной деятельности проходить незаметно на фоне легальных переводов усиливая потребность в специалистах по комплаенсу и следователях для строгой оценки всех депозитных кошельков - особенно связанных с вложенными сервисами.

Реальный кейс: работа базирующегося в России сервиса по отмыванию средств с операторами шифровальщиков и с продавцами Darknet-рынков.

Путем изучения активности задействованных в отмывании депозитных кошельков мы можем узнать больше о том, как кибер-преступники отмывают средства через различные сервисы, часто меняя крипто-валюты. Ниже мы разберем случаи отмывания денег когда кибер-преступники конвертируют большие суммы крипто-валюты в наличность.

Схема отмывания включает в себя множество сервисов. Первый из них - большой российский внебиржевой брокер, который работает в основном на двух очень популярных биржах. Этого брокера мы будем называть «OTC-A». Мы смогли связать семь депозитных кошельков на этих двух биржах с OTC-A, три из которых входят в ту самую группу из 270 депозитов, которые в 2020 году получили криминальных средств на сумму более $1 млн. На рис.15 отражены полученные кошельками OTC-A суммы в Bitcoin, большая часть которых поступило с криминальных кошельков.

Рис.15: Активность внебиржевого брокера OTC-A

OTC-A получил крипто-валюты на сумму более $265 млн. с момента своего появления в 2018 году. Более $2 млн. пришли от шифровальщиков Maze и Ryuk. Кроме того – была получена крипто-валюта на сумму $13,9 млн. от сделок на Darknet-рынках - в первую очередь Hydra - и $8,1 млн. от нескольких мошеннических схем. В целом, 9,29% всех полученных OTC-A Bitcoin поступает с криминальных кошельков. OTC-A также получает значительные средства без истории сделок от других бирж, то есть средства были изначально фидуциарными. Мы считаем, что некоторые из оборачиваемых средств могут быть связаны с преступлениями, доходы от которых изначально не были получены в виде крипто-валюты. Ниже мы видим пример некоторых из этих фондов – OTC-A получил более 107 Bitcoin конвертированных из фидуциарных средств с основной биржи.

Рис.16: Взаимодействие внебиржевого брокера OTC-A с основной биржей

Похоже что OTC-A помогает кибер-преступникам конвертировать хотя бы часть полученных преступным путем Bitcoin в наличные. Тем не менее, наши данные также показывают что OTC-A совершает значительные транзакции в токены Tether ERC-20 (USDT_ETH). Точнее, он обменивается значительной частью USDT_ETH с еще одним российским сервисов мгновенный обменником. Мы будем называть его «IE-1». IE-1 позволяет пользователям обменивать крипто-валюты Bitcoin, Ether и Tether, а также различные электронные валюты, работающие на электронных кошельках «Perfect Money».

Рис.17: Взаимодействие внебиржевого брокера OTC-A с обменником IE-1

По данным Reactor, OTC-A получил значительные суммы в USDT_ETH от IE-1 - $8.7. млн. непосредственно и еще $1.4 млн. через сеть из 28 промежуточных  кошельков. Мы не знаем посылает ли OTC-A Tether (или Bitcoin, если уж на то пошло) обратно IE-1 - поскольку все депозиты OTC-A размещены на более крупных сервисах исходящие переводы нет возможности отследить. Тем не менее стоит отметить, что кошельки-посредники между OTC-A и IE-1 отправляют и получают большие суммы USDT_ETH в IE-1 и от IE-1. В связи с этим мы считаем возможным, что OTC-A также отправляет большие суммы USDT_ETH на IE-1 от имени своих клиентов кибер-преступников, позволяя им обналичивать средства через IE-1.

Это лишь один из примеров того, как средства могут быть перемещены с криминальных кошельков к внебиржевым брокерам и на прочие виды вложенных сервисов.

Реальный кейс: Отмывание доходов от наркоторговли в Великобритании и Австралии показывает как крипто-валюты можно использовать в оффлайн-преступности.

Почти вся криминальная деятельность, о которой мы рассказываем в этом отчете, состоит из кибер-преступлений «крипто-валютной» направленности – то есть преступления практически зависящие от крипто-валюты или по своей природе связанные с ней. Возьмем, к примеру, Darknet-рынки -  они работают полностью на крипто-валюте и имеют ежедневные обороты в миллионы долларов. Так как эти сервисы активно общаются с  новыми клиентами онлайн нам не так сложно определить их кошельки и отслеживать их транзакционную активность.

Но многие следователи задаются вопросом: как часто преступники, занимающиеся традиционным, не «крипто-валютным» криминалом - например, традиционным незаконным оборотом наркотиков - отмывают их незаконные средства конвертируя их в крипто-валюты и гоняя их по всему миру. В этих случаях средства поступают в крипто-валюту непосредственно из фидуциарных средств а не приходят с известных криминальных кошельков, так что оказывается гораздо труднее как расследовать индивидуальные случаи такого отмывания, так и собирать статистику.

Однако мы знаем что это все же происходит. Ниже мы расскажем о том, как банда наркоторговцев в Великобритании и Австралии сделала частью своей стратегии по отмыванию доходов перевод денег в крипто-валюту.

Как банда наркоторговцев «Harrod’s» использовала крипто-валюту.

В 2019 году полиция арестовала нескольких членов группировки по незаконному обороту наркотиков, действовавшей в Австралии и Великобритании. Примечательно, что торговцы кокаином в этом деле прятала кокаин в товарах универмага Harrod's - а затем ничего не подозревающие работники отправляли эти товары в Австралию, где их забирали подельники.

Мы конечно сосредоточимся на методах отправки нарко-денег за границу поставщикам. Банда Harrod’s следовала общей стратегии, которую используют многие криминальные группировки :

  1. Организованная преступная группа (ОПГ) связывается с контролером, который отвечает за операции по отмыванию денег, и сообщает сколько наличных им нужно переправить, получателя и где этот получатель находится. В случае с Harrod’s - ОПГ наркоторговцев в Великобритании переводила финансы - обычно это суммы в сотни тысяч - их поставщику наркотиков.
  2. Контролер связывается с одним из своих многочисленных координаторов, чья работа заключается в том чтобы гарантировать что деньги попадут к правильному получателю.
  3. ОПГ отправляет контролеру фотографию счета с видимым серийным номером. Контролер передает это изображение координатору, который передаст его коллектору, которому поручено физически получить наличные. (Мы позже объясним почему)
  4. Через контролера координатор передаст в ОПГ место передачи наличных. Обе стороны обмениваются прочими деталями, такими как марки и модели транспортных средств участников сделки. Это делается для того, чтобы снизить риски встречи с полицией.
  5. Затем ОПГ передает оригинал счета вместе с наличными курьеру. Курьер встречается с коллектором в указанное время в указанном месте.
  6. После встречи курьер передаст счет коллектору. Коллектор проверяет, совпадает ли серийный номер счета с серийным номером на фотографии из пункта 3. Сделка не состоится если они не совпадают. Этот сделано для того, чтобы гарантировать коллектору что курьер, с которым он никогда не встречался - нужный человек.
  7. Если серийные номера совпадают, курьер передает наличные коллектору.
  8. Коллектор сообщает контролеру о факте передачи наличности. В этот момент контролер инициирует процесс передачи ценности, в ходе которого деньги переводятся в электронном виде координатору по местоположению получателя средств. Традиционно электронный перевод осуществляется через банк или традиционные финансовые бизнес-сервисы.
  9. Затем контролер и новый координатор организуют тот же самый процесс в обратном порядке в месте нахождения получателя и он получает эквивалентную сумму денежных средств. Что важно – это физически не те же самые наличные деньги что были изначально получены у ОПГ.

 

Мы описали эту схему на рисунке 18:

Рис.18: Схема отмывания средств Harrod’s

Банда Harrod’s следовала именно этому процессу, но с одним изменением: процесс передачи ценности осуществлялся с использованием крипто-валютных операций а не банковских или бизнес-переводов.

Примечательно что именно коллекторы отвечали за проведение крипто-валютных транзакций в ходе сделки. Полиция, отслеживающая деятельность банды, арестовала одного из этих коллекторов после передачи наличных денег, изъяла наличные и обнаружила серийные номера счетов, описанные выше, а также список из нескольких кошельков Bitcoin. Ниже приведен граф из системы Reactor, показывающий некоторые связанные с отмыванием денег Bitcoin-транзакций коллектора.

Рис.19: Граф транзакций коллектора

Координатор с британской стороны операции сбежал после ареста коллектора, но вернулся через несколько месяцев и был арестован. Полиция изъяла у него хардварный крипто-валютный кошелек, история транзакций которого показала переводы на 8 млн. фунтов стерлингов на популярную крипто-биржу в течение полугода. Поскольку эти средства поступили в крипто-валютную экосистему как фидуциарные один только анализ блок-цепочки никогда бы не позволил следователям или офицерам по внутреннему контролю определить что они криминальные.

Дело о банде наркоторговцев Harrod’s  показывает насколько важно для следователей правоохранительных органов - даже тех, кто не занимается кибер-преступностью - понимать как работают крипто-валюты и анализ blockchain.

Продолжение исследования ждите вскоре в разделе «Аналитика» нашего блога!

 

Источник: https://go.chainalysis.com

Системы Информационной Безопасности