Фишинговая платформа RaccoonO365 долгое время продавала в даркнете готовые наборы для создания поддельных страниц Microsoft 365. Всего за несколько долларов любой мог получить шаблон, развернуть «официальный» сайт и начать собирать учётки. Жертвы — от обычных сотрудников до больниц — даже не подозревали, что их данные утекают в руки злоумышленников. Подобный сервис из 800 участников заработал более $100 тыс. и помог похитить не менее 5 000 учётных данных в 94 странах.
В октябре Microsoft, Health‑ISAC и Cloudflare нанесли удар по преступникам: в рамках гражданского иска им удалось заблокировать 338 доменов, остановив деятельность сервиса. Необычно то, что доказательной базой для суда стали данные из блокчейна. Следователи начали с «контрольных закупок» фишинговых наборов, а затем выявили ошибку разработчика: для одной продажи он сначала дал Tron‑адрес, а затем — Ethereum‑адрес. Эта «утечка» позволила связать два криптокошелька и вывести цепочку транзакций на конкретный аккаунт. Используя анализатор Chainalysis Reactor, они реконструировали движение средств и показали, как выручка от наборов выводилась через разные биржи. В итоге блокчейн‑транзакции стали понятным для судей «квитанциями» — правоохранители смогли объяснить, что деньги из кошельков злоумышленников уходили на покупку доменов и оплату серверов.
Как это работает юридически
1. Гражданский иск вместо уголовного дела.
В США крупные корпорации всё чаще подают гражданские иски против киберпреступников. Это позволяет быстрее получить судебный запрет и взыскать убытки, минуя длительное уголовное расследование. В деле RaccoonO365 Microsoft заявила о мошенничестве, нарушении авторских прав и использовании товарного знака. Суд выдал ордер на передачу контролируемых доменов компании и заморозку криптокошельков.
2. Блокчейн как доказательство.
Публичная природа блокчейна делает его «электронной бухгалтерией»: транзакции неизменяемы и видны всем. Однако в суде важна связка адресов с человеком. В этом случае следователи показали, что два разных адреса принадлежат одному оператору (он сам их раскрыл), и отследили вывод средств на биржу. Судья сочёл это достаточным для предварительного ареста активов и указал, что данные из блокчейна сопоставимы с банковскими выписками.
3. Заморозка и конфискация криптовалюты.
Благодаря сотрудничеству с криптовалютными биржами суд может обязать их заморозить кошельки, указанные в решении, если средства ещё не выведены в необратимые сети. Это делается по правилам гражданского производства: истец должен доказать вероятность успеха и риск рассеивания активов. После окончания процесса суд может вынести решение о передаче средств потерпевшим.
4. Межотраслевая кооперация.
Дело RaccoonO365 иллюстрирует, как публично‑частные партнёрства работают в цифровой сфере. Microsoft предоставила технологическую экспертизу и ресурсов для юридической борьбы, Chainalysis — инструменты анализа, а доменные регистраторы и хостинг‑провайдеры выполнили судебные постановления. Такое сотрудничество становится нормой, поскольку киберпреступность трансгранична, а национальные правоохранительные органы ограничены юрисдикцией.
5. Прецедент для будущих дел.
Это первый случай, когда блокчейн‑данные стали основой гражданского иска против фишинг‑сервиса. Если суд примет решение в пользу Microsoft, юристы получат важный прецедент: цифровые доказательства, собранные с помощью аналитических платформ, станут признанными в гражданском производстве. Это повысит ответственность киберпреступников и усложнит им вывод средств через криптовалюту.
В перспективе такие дела будут становиться всё более частыми: криминальные сервисы перешли на модель «преступность как услуга», а компании — на модель «кибербезопасность как процесс». Для бизнеса и пользователей это означает, что криптовалюты больше не находятся вне зоны действия правосудия: блокчейн может стать как средством хищения, так и источником неоспоримых доказательств.
