Kurjategijate suuroperatsioon, mis ulatus neljale kontinendile ja ligi 30 riiki, algas minutipealt ühel ajal. Kõigest mõne tunniga ja ainult 44 pangakaardi andmete abil vahetas omanikku üle 100 miljoni krooni. 

Eestis võeti nelja pangakaardi abil automaatidest välja 3,5 miljonit krooni, Ukrainas ja USAs 20 miljonit, Venemaal 18 miljonit, Kanadas 15 miljonit ning Jaapanis, Hongkongis ja Itaalias pisut alla 10 miljoni. 

Meisterkurjategijaid ei häirinud tõsiasi, et pangakaartidele olid seatud päevalimiidid või puudus kontodel algselt raha. Nad tegutsesid nii oskuslikult, et veel kolm kuud hiljem laiutasid FBI agendid käsi ja tunnistasid avalikkusele: “Me ei ole kunagi näinud ligilähedasegi ulatuse ja läbimõeldusega pangaautomaadi-pettust.” (FBI agendi Ross Rice’i sõnad telekanalile Fox 5.) 

8. november 2008. Eestis hakkas kell saama üheksa hommikul. Tallinlane Sergei Tšurikov (25), piiterlane Viktor Pleštšuk (28) ja Moldovast pärit Oleg Kovelin (29) olid rünnakuks valmis. Nad olid sisse murdnud Royal Bank of Scotlandi deebetkaardi-teenust pakkuvasse harusse RBS World­Pay, asukohaga Atlantas. 

Arvutisüsteeme eksitades kehastusid küberkurjategijad panga täievolilisteks ametnikeks, kuigi viibisid ise siinpool ookeani. Nende kümned kaasosalised olid varustatud võltsitud pangakaartidega ja korraldusega: “Alustame kell 10 Moskva aja järgi!” 

Kokkulepitud ajal startisid võltskaartidega mehed-naised pangaautomaate ründama Atlantas, New Yorgis, Montrealis, Moskvas, Hongkongis ja Tallinnas, aga ka Itaalias, Jaapanis, Kosovos, Ukrainas, Filipiinidel ja Dominikaani Vabariigis. Mõne tunniga võtsid nad rohkem kui 2000 automaadist välja 9,4 miljonit dollarit. Kõik. Vaikus, kui välja arvata, et veel “tühised” 300 000 dollarit võeti siin-seal välja ka järgmisel päeval.

Mis siis juhtus? Pikka aega valitses kõikjal teadmatus. Šokk oli nii suur, et RBS WorldPay  avaldas pressiteate juhtunu kohta alles poolteist kuud(!) hiljem. Skandaali tõttu pani ameti maha ja lahkus firmast peadirektor Ben Barone.

Uudispommi lõhkedes püüdsid USA ajakirjanikud mõista ja selgitada kuriteo toimepanemise mehhanismi. Ent vähemalt esialgu ei osanud isegi kõige kogenumad spetsialistid seletust välja pakkuda. Analüütikud raputasid pead: “See ei ole võimalik.”

“Siin on segamini aetud kaartide arv või on kahjusummale mõni null kogemata otsa pandud,” ütles vanemanalüütik Brent ­Watters USAs deebetkaartide vaatlemisega tegelevast Mercator Advisory Groupist.

Tõepoolest, kõigest mõne tunni jooksul võeti vähem kui 100 pangakaardiga ATMidest välja ligi 10 miljonit dollarit, kusjuures suurem osa “tehingutest” tehti lausa esimese poole tunniga. 

See teeb miljon krooni ühe deebetkaardi kohta! Kuidas? Kas tõesti “juhtus” nii, et pangast pandi pihta ainult miljonäride kaardiandmed, pealegi ilma päevalimiitideta eksemplarid?

Uurimise käigus sai see anomaalia täiesti hämmastava seletuse. Nimelt polnud kuriteo organisaatorid mitte lihtsalt korraks panga arvuti­süsteemidesse sisse murdnud ja turvameetmeid elimineerinud, et siis kohe kübermaailma avarustesse peituda. 

Vastupidi, piltlikult öeldes viibisid nad samal ajal, kui pangaarveid tühjendati, ise kohal! Vajadusel tühistasid nad päevalimiidid – kui deebetkaardi limiit täitus või raha “otsa sai”, kanti arvele raha juurde. Nii võinuks põhimõtteliselt kas või üheainsa pangakaardiga lõpmatuseni raha varastada. 

Lõpuks kustutasid kurjategijad kõik failid, mis näitasid, et kõnealustelt kontodelt ülepea mingeid tehinguid oleks tehtud. 

Loomulikult oli kriminaalidel kiire, sest oli kui mitte minutite, siis tundide küsimus, mil pangad aru saavad, et toimub midagi kahtlast. 

Ja loomulikult taipasidki pangad vähemalt maailma arenenumas otsas, et midagi pöörast on toimumas.

Nii oli tallinlastest abielupaar Ronald (31) ja Evelin Tsoi (20) alles täies aktsioonis – kihutades mööda Tallinna ühe ATMi juurest teise juurde, kord taksoga, kord mõne muu ühissõidukiga, kui pankadest tuli Keskkriminaalpolitseile signaal – käib seletamatu sularaha väljavõtmine kõigest mõne kaardiga: mõnisada tuhat krooni ühest automaadist, mõnisada tuhat järgmisest jne. 

“See on rutiin. Kui pangad panevad tähele midagi ebanormaalset, näiteks suurte sularahakoguste väljavõtmine väga lühikese aja jooksul, käivitub infovahetus,” ütleb Keskkriminaalpolitsei vanemkomissar Kalmer Viska. 

Selge see, et asi oli kahtlane, isegi kriminaalne. Ent selleks, et teada saada, kes olid need inimesed, kes, näod üleni karvaste kapuutsidega varjatud, USA panga klientide arvetelt sadu tuhandeid kroone välja võtavad, läks veel mitu kuud. 

Tükk aega pärast möödunud aasta 8. novembrit laiutasid FBI agendid teisel pool ookeani käsi ja vastasid reporteritele nõutult: “Me pole kunagi midagi seesugust näinud. Me ei tea, kes selle kuriteo toime pani.”

Esimesed sammud selle omamoodi geniaalse kuriteo avastamiseks astuti Eestis. Nähes, kelle kontodelt raha välja võetakse, oli Eesti politseil põhjust ookeanitaguseid ametivendi hoiatada. Läks aga veel mitu kuud, enne kui kurjategijate jälile jõuti. Alles tänavu mai alguses vahistati Tšurikov ja tema kaasosalised. 

Tšurikovi Õismäe teel asuva korteri läbiotsimisel andis mees politseinikele välja nõudepesumasina taha peidetud 500euroste paki, kokku rohkem kui kolme miljoni krooni eest. “Kuigi ta alguses eitas enda seotust kuritegudega, võib kokkuvõttes öelda, et Tšurikov oli vägagi koostöövalmis,” ütleb Kalmer Viska. 

Kriminaalmenetlust juhtinud riigiprokurör Lavly Lepp märgib, et Tšurikov eitas oma süüd nii kaua, kuni talle esitati vastuvaidlematud tõendid, sest internetis jääb igast tegevusest jälg maha. “Kaalukaid tõendeid nähes oli olukord tema jaoks selge ja ta asus koostööd tegema.”

“Mitte ükski riik maailmas poleks sellise mastaabi ja organiseeritusega kuritegu üksinda lahendanud. Aga tõsi on see, et Eestist, meie kontorist hakkas asi hargnema,” ütleb vanemkomissar Viska. Ta on tagasihoidlik mees. Ometi oli Eestis kriminaalmenetlus juba käimas, kui USAs alles imestati, mis õieti juhtus. Ja veebruaris, kui FBI agendid meedias tunnistasid, et kahtlusaluseid pole, ajasid KKP ametnikud mööda interneti-avarusi juba Tšurikovi ja ta kaasosaliste jälgi. 

Riigiprokurör Lepp ei varja heameelt, kui ütleb, et Keskkriminaalpolitsei ja Eesti näitasid selle juhtumiga ennast USA ametivendadele ja kogu maailmale väga heast küljest. 

Lepp toob välja, et tegemist oli esimese korraga, kui Eesti ja USA õiguskaitseorganid leppisid juba kriminaalmenetluse käigus omavahel kokku, milliste kuritegude eest antakse kurjategijad kohtu alla Eestis ning milliste osas USAs.  

See tähendab, et näiteks panga arvutisüsteemi sissemurdmises, mastaapses kuritegelikus vandenõus, ulatuslikus identiteedivarguses ja veel mitmes kuriteos tuleb Sergei Tšurikovil alles Ühendriikides kohtu ette astuda, koos Pleštšuki ja seni veel USA Salateenistuse poolt rahvusvaheliselt tagaotsitava Koveliniga. Eestis inkrimineeriti Tšurikovile siin automaatidest välja võetud 3,5 miljoni krooniga seonduv.

Läinud reedel mõistis Harju maakohus arvuti­kelmuses, pangakaartide võltsimises ja võltsitud kaartide kasutamises süüdi Tšurikovi ja tema neli kaasosalist: Igor Grudijevi (31), ­Mihhail ­Jevgenovi (33) ning Ronald ja Evelin Tsoi. 

Tšurikov nõustus kokkuleppemenetluse korras kuueks aastaks vangi minema ja ootab USA võimudele väljaandmist. 

Ülejäänud – Grudijevi ülesanne oli valgetest kaarditoorikutest tehtud võltskaartide hankimine, teised olid sularaha väljavõtjad ehk nn casher’id – pääsesid tingimisi vangistusega, kuid peavad tagasi maksma kriminaalse tulu. 

Sergei Tšurikov, kes kuritegudega saadud raha eest ostis kalleimat kosmeetikat ning esines kübermaailmas hüüdnimedega “gucci” ja “cavalli”, läks Eesti kuritegevuse ajalukku kuus aastat tagasi, detsembris 2003, kui saatis tuhandetele Hansapanga klientidele vastu hommikut e-kirja: “Meie pangasüsteemis toimus eksitus. Palume teid uuendada meie andmebaase. Sissetage oma kasutajatunnus, seejärel sissetage paroli ning vajutage nuppu “Uuendada.”” 

Vaatamata kirjavigadele saatsid mitukümmend inimest kurjategijatele oma hanzaneti paroolikoodid ja vaid pankade ja politsei kiire koostöö ei lubanud pättidel võõralt kontolt endale napsata enamat kui 80 000 krooni. 

Tookord tingimisi karistusega pääsenud Tšurikov vahistati uuesti suvel 2005. Katseajal olles oli ta saatnud nuhkprogrammid pangakasutajate arvutitesse Saksamaal ja Ungaris ning pani koos kaasosalistega võõrastelt arvetelt pihta üle kolme miljoni krooni.

Pank viivitas pettuseteatega oma ärihuvide tõttu?

Jaanuaris esitas üks USA advokaat RBSi vastu hagi. Ta märkis muu hulgas, et RBS ei täitnud oma kohustust kaitsta hagejate isiklikke ja finantsandmeid isikute eest, kellesse need ei puutu. Kuritarvitatud on inimeste nimesid, aadresse, telefoninumbreid, sotsiaalkindlustuse numbreid, pangakaardinumbreid, pin-koode ja infot rahalise olukorra kohta. Kahjustatud võivad olla 1,5 miljoni inimese andmed, kinnitust on leidnud vähemalt 100 pettuse juhtu. 

Pennsylvania elanikust hageja sai alles 23. detsembril RBS WorldPayst kirja, kus teatati, et tema isiklik ja rahaline info on ohus, sest RBS arvutisüsteemi on sisse murtud. 

Hageja kirjutab, et RBS sai arvutisüsteemi kräkkimisest teada 10. novembril, ent ootas 43(!) päeva, enne kui vastava pressiteate avaldas. Ootamisaeg sai läbi 23. detsembril, kui kõik jõuluostud olid tehtud ning kunded olid ära kasutanud kinkekaardid, mis oli osa RBSi pakutavatest teenustest. Skandaali korral poleks kunded nii soodsal ostuajal tõenäoliselt RBSi kaarte usaldanud.

Praegu pole kohtuasi veel lahendust saanud, ent arvata võib, et kohus mõistab välja mõnikümmend miljonit dollarit kahjutasu.