Blokował komputery i żądał pieniędzy. Cyberprzestępca Armaged0n usłyszał 181 zarzutów

Technologie

Tomasz T., znany jako "Thomas" lub "Armaged0n" miał oszukać w latach 2013-2018 kilka tysięcy użytkowników komputerów, m.in. żądając opłat za odblokowanie zaszyfrowanych przez niego urządzeń. Policjanci zlokalizowali klucze, które umożliwią dostęp do części zablokowanych zasobów.

Oszust ukrywał się przed organami ścigania za granicą. Jak ustaliła policja, przebywał w wielu miejscach w Belgii.

 

14 marca, po wjeździe do Polski został namierzony i zatrzymany przez funkcjonariuszy Biura do Walki z Cyberprzestępczością Komendy Głównej Policji i Komendy Wojewódzkiej Policji w Opolu. W piątek decyzją sądu został tymczasowo aresztowany.

 

Fałszywy list elektroniczny

 

Według policji Tomasz T. to najbardziej uciążliwy cyberprzestępca w Polsce. Od 2013 roku miał utrzymywać się z ransomware - żądał opłat od osób, których komputery zaszyfrował.

 

Oszustwo polegało na wysłaniu spreparowanego listu elektronicznego, w którym podejrzany podawał się za różne instytucje - dużą spółkę telekomunikacyjną, dużą spółkę odzieżową, banki, inne znane spółki, wypożyczalnie samochodów, firmy kurierskie, operatorów pocztowych, adwokatów oraz Generalnego Inspektora Ochrony Danych Osobowych.

 

Podszywał się m.in. pod spółkę P4, firmę ZARA, banki Nationale Nederlanden i mBank, operatora płatności Pay U - w płatności kartą dla Cinema City Poland, Netię, elektroniczne biuro obsługi Multimedia, Paczkę w Ruch, Generalnego Inspektora Ochrony Danych Osobowych, Faktury PKO Leasing, spółkę Zastępczy Pojazd, Pocztę Polską, firmę DHL, adwokata Jerzego C., adwokata Andrzeja L., Morele.net, Polkuriera, Wizz Air, adwokata Wojciecha W. 

 

Średnio co 3-4 tygodnie rozsyłał wirusy, a za odszyfrowanie żądał kwot od 200 do 400 dolarów. Zyski lokował na giełdach kryptowalut w formie bitcoinów.

 

Niebezpieczne kopiowanie numeru rachunku

 

Inne oszustwo polegało na infekowaniu komputerów wirusem, który wklejał do formularza płatności niepożądany przez użytkownika numer rachunku. Wówczas pieniądze przesyłane z użyciem bankowości internetowej trafiały na rachunki uprzednio założone i kontrolowane przez podejrzanego.

 

Tomasz T. wykorzystywał rachunki założone na dane innych osób, a do wypłat używał kart płatniczych typu pre-paid.

 

Według portalu niebezpiecznik.pl podejrzany już sześć lat temu nieopatrznie zdradził swoją tożsamość. Działalność przestępczą rozpoczął jako 17-latek, a w sieci zostawiał różne ślady, które pozwalały go zidentyfikować, np. w komentarzach ze zrzutami ekranu pod artykułem portalu. Na pasku adresowym można było zauważyć okno rozmowy prowadzonej z jego bratem przez Skype'a. Komentował też późniejsze artykuły w internecie, zdradzając belgijskie numery IP.

 

Skutecznie ukrywał się jednak za granicą. 

 

Zatrzymany usłyszał 181 zarzutów dotyczących prania pieniędzy, oszustw i oszustw komputerowych, podszywania się pod inne osoby oraz bezprawnej ingerencji w systemy komputerowe polskich internautów. Utrzymywanie się z tej działalności może wpłynąć na zaostrzenie kary.

 

Podejrzany został przesłuchany przez prokuratora. Przyznał się do zarzucanych mu czynów i złożył wyjaśnienia.

 

Klucze odzyskane

 

W toku śledztwa funkcjonariusze zidentyfikowali i zlokalizowali zagraniczny serwer, na którym sprawca przechowywał klucze do odszyfrowania komputerów. Klucze te pochodzą z dwóch serii przestępstw, w których podejrzany podszył się pod Generalnego Inspektora Ochrony Danych Osobowych i podmiot Zastępczy Pojazd działający w branży komunikacyjnej.

 

W przypadku tych dwóch przestępstw istnieje możliwość odblokowania zainfekowanych komputerów. Policjanci apelują też, aby osoby, które zostały oszukane w inny sposób przez Tomasza T. składały zeznania w tej sprawie. 

 

Współpraca z Europolem

 

Śledztwo prowadziły komórki do ścigania cyberprzestępstw w Prokuraturze Okręgowej w Warszawie i w Komendzie Głównej Policji przy wsparciu Europolu.

 

Do organów śledczych Belgii skierowano też tzw. Europejski Nakaz Dochodzeniowy (z instytucji tej polskie organy ścigania mogą korzystać od lutego), na mocy którego 14 marca wyspecjalizowana w zabezpieczaniu cyberśladów jednostka belgijskiej policji przeprowadziła przeszukanie na terytorium Belgii, równoległe do czynności prowadzonych przez policjantów w Polsce.

 

polsatnews.pl, niebezpiecznik.pl

mta/dro/

Chcesz być na bieżąco z najnowszymi newsami?

Jesteśmy w aplikacji na Twój telefon. Sprawdź nas!

Komentarze