В афере с деньгами Ларисы Долиной было задействовано 14 счетов и карт в двух банках, а также минимум два криптокошелька, откуда крупные суммы выводились на иностранные биржи. По мнению экспертов, дело Долиной — типичный пример, как современные мошенники в своих преступных схемах используют криптовалютные инструменты, чтобы запутать следы. RT разбирался, куда ушли деньги народной артистки.
За время общения с мошенниками Лариса Долина перевела деньги на 14 подконтрольных им счетов в двух банках. Как сообщил источник RT, знакомый с материалами дела, злоумышленники основательно подготовились к преступлению — они завладели счетами и картами 14 человек, большинство из которых не были осведомлены о преступных намерениях в отношении певицы. Многие узнали о произошедшем, лишь когда на них поступил судебный иск о взыскании миллионов рублей, которые народная артистка переводила на их счета.
Как выяснил RT, череда крупных переводов от Долиной началась 3 апреля 2024-го — в тот день она отправила мошенникам первые два транша на общую сумму 9 млн рублей.
Переводы продолжались с небольшими перерывами до 19 апреля, за это время певица перевела деньги на девять разных счетов. Всего за апрельскую фазу аферы мошенники получили от Долиной более 66 млн рублей. Минимальный транш за день составлял 3 млн рублей (11 и 15 апреля), а наибольшую сумму певица перевела 5 апреля — 16 млн рублей.
Вторая фаза мошеннической операции с переводами началась уже в июне — после того как народная артистка по указанию злоумышленников продала свою московскую квартиру. Большую часть средств от продажи она передавала курьерам, называя им кодовые слова, но остаток суммы снова переводила на «безопасные счета». Так, 26 и 27 июня Долина перевела ещё 35 млн рублей на пять счетов.
Всего за время аферы Лариса Долина осуществила 19 денежных переводов на суммы от 3 млн рублей до 20 млн рублей.
Как сообщил источник RT, деньги, полученные от певицы, мошенники выводили со счетов изначальных получателей. Средства перечислялись на подконтрольные соучастникам счета и криптокошельки, после чего злоумышленники распоряжались ими «в своих интересах».
Криптокошельки
Значительную роль в деле Долиной сыграли криптовалютные инструменты — именно с их помощью участникам мошеннической схемы удалось осуществить сокрытие украденных средств и передать деньги организаторам преступления, которые пока так и не установлены.
Согласно материалам дела, в преддверии преступления фигурантка уголовного дела Анжела Цырульникова открыла два кошелька на криптоплатформе Aifory Pro.
«Эти кошельки использовались при совершении преступления и для вывода похищенных денежных средств на биржи, зарегистрированные вне российской юрисдикции, с целью затруднения установления конечного получателя. Их реквизиты (Цырульникова. — RT) передала организатору», — пояснил источник RT.
По его словам, Цырульникова, получавшая от Долиной лично или через курьеров наличные средства, покупала на них криптовалюту, которая отправлялась на иностранные биржи. Так, 28 июня женщина закупила криптовалюту на 21,5 млн рублей, 1 июля — на 26 млн рублей, 11 и 12 июля — на 2 млн и 1,5 млн рублей соответственно.
Где деньги?
Основатель компании «Интернет-Розыск», эксперт рынка НТИ SafeNet Игорь Бедеров помог RT проанализировать транзакции с криптокошельков мошенников, фигурирующих в деле Долиной. По его словам, афера с деньгами народной артистки — наглядный пример, как мастерски в современные финансовые схемы вплетают криптовалюты, превращая цифровые активы в инструмент для запутывания следов.
Мошенническая атака на Ларису Долину была заранее спланирована и готовилась не менее месяца. Ещё до первого контакта с певицей…
«Это чёткий алгоритм действий, направленный на то, чтобы сделать деньги невидимыми. Всё началось с криптоплатформы Aifory Pro. На ней были заранее открыты два криптокошелька. Важно понимать, что такие сервисы часто являются первой ступенью — они могут не требовать строгой верификации, что позволяет сохранить анонимность на начальном этапе. Кошельки, привязанные к блокчейну Tron (об этом говорит префикс «T» в адресах), стали принимающей чашей для поступлений», — объясняет эксперт.
Игорь Бедеров отметил, что мошенники намеренно распределили средства по двум адресам, чтобы диверсифицировать денежные потоки. Так сложнее отследить полный объём средств и легче сделать их дальнейшее перемешивание с активами других пользователей. Далее средства с каждого кошелька ушли в разные, но «стратегически выбранные» точки, отмечает эксперт.
Так, вывод средств с одного из кошельков, открытого Цырульниковой, ведёт на счёт криптовалютной биржи Bybit.
«Выбор юрисдикции, которая исторически сложна для международного правового взаимодействия, был неслучайным. Цель — максимально дистанцироваться от российской юрисдикции и воспользоваться сложностями в получении информации от иностранных провайдеров», — поясняет собеседник RT.
С другого криптокошелька Цырульниковой валюта поступала на грузинский сервис приёма и обработки криптовалютных платежей Heleket, а также на криптовалютный бот CryptoBot в Telegram.
«Перед нами классическая, но грамотно выстроенная схема обналичивания (кешаута). Её признаки в приёме активов на условно анонимные кошельки, перемещении на крупные зарубежные площадки для запутывания следа, диверсификации потоков через разные типы сервисов, вывод в фиат (современные валюты. — RT) либо перевод конечному бенефициару, — пояснил эксперт. — Дело Долиной демонстрирует, что современные расследования требуют не только знания блокчейн-аналитики, но и понимания логики преступников. Они комбинируют офшорные юрисдикции, нишевые финансовые сервисы и популярные утилиты, создавая многослойную защиту. Расколоть такую схему можно, только последовательно распутывая каждый узел — от первого кошелька до последней точки вывода — и тесно взаимодействуя с международными регуляторами».
Анализ кошельков
RT также ознакомился с отчётами AML Crypto и платформы ШАРД — сервисы помогают оценивать риски различных криптокошельков. Оба кошелька, задействованные в деле Долиной, представляют средний риск. Первый из них был активен с июня 2024-го по март 2025 года, сейчас на балансе осталось всего $15, однако ранее через адрес проходили большие суммы — «около $694 тыс. в USDT и небольшой объём TRX», говорит Игорь Бедеров.
«Основные взаимодействия — с централизованными биржами (Bybit) и OTC-площадками, что считается индикатором риска. Активность в рабочее время — транзакции совершались преимущественно в рабочие дни и часы, что может свидетельствовать о неличном (возможно, коммерческом) использовании. Высокая сумма транзакций при малом остатке — через адрес прошло почти $700 тыс., но сейчас на нём почти нет средств. Это может указывать на использование адреса для перемещения средств. Концентрация на одном контрагенте (Bybit) — почти все крупные транзакции связаны с одной биржей», — говорит Бедеров.
Второй кошелёк, фигурирующий в деле Долиной, был активен с марта 2024-го по февраль 2025 года. Сейчас на балансе также осталась незначительная сумма — в районе $15.
Основные взаимодействия адреса — с централизованными биржами (Binance, Bybit) и внебиржевыми OTC-площадками: связь с последними повышает риск, так как такие сервисы часто ассоциируются с менее регулируемыми операциями.
«Адрес совершал прямые переводы с/на адреса, отмеченные как «Санкции», что также является серьёзным индикатором риска. Следует отметить взаимодействие с OTC-площадками, контакты с адресами очень высокого риска, а также высокую сумму транзакций при малом остатке, что может указывать на использование (счёта. — RT) для перемещения активов», — заключил Бедеров.
Добавить комментарий