Итак, поделюсь результатами своего небольшого расследования.
Если у кого будут идеи, что можно еще сделать, чтобы добраться до истины, делитесь!
Первое, что я решил сделать - получить доступ к почтам, по которым выполнялись переводы. Сделать это было несложно, например: в почте "
zhopa.opa2017@yandex.ru" ответом на секретный вопрос "Фамилия вашего любимого артиста?" является "zhopa", что я смог угадать с первого раза. Аналогичным способом удалось получить доступы и к следующим почтам.
Внимально изучив содежимое почтовых ящиков я пришел к выводам:
1) Мошенник с очень большой вероятностью действовал из Украины. Несмотря на использование VPN (в некоторых случаях используется ip других стран по журналу посещения: Турция, Германия), во всех почтах установлен одинаковый часовой пояс GMT +02:00, который выставляется в соответствии с временем на ПК и не зависит от VPN/proxy.
Также у большинства почтовых ящиков есть пересечение по одному украинскому IP-шнику, который расположен в городе Бердянск (и скорее всего это реальный ip-шник мошенника).
И ещё один существенный момент, фамилии счетов на которые осуществлялись переводы также украинские:
Marina Lisen
koTatyana Gnaten
koDmitriy Babanin
Juliya Maslovskaya
Valeriy Surkov
2) Мошенник подготовился заранее. Начал регистрировать почты в те дни, когда у меня были проблемы с авторизацией. Все делал последовательно на всех почтах (в течении недели): регистрировал почту, регистрировал Skrill, привязывал банковский счет, воровал деньги.
3)
От рук мошенника пострадал не я один. На одном из почтовых ящиков увидел следующее письмо:
Если кто-нибудь знает этого человека, дайте ему мои контакты. Мы бы смогли обсудить, как мы прокололись.
P.S. это не Maxime Lesoeur, который первым находится в LinkedIn по запросу в гугле, тут все проще: maxime.leso
EUR@gmail.com с намеком на валюту счета :)
4) Выводы средств запрашивались на счет Приватбанка, при этом у каждого аккаунта была привязка к разному счету:
Далее я попытался восстановить доступ к самим скриллам (специально для этого арендовал виртуалку в облаке, чтобы не было пересечений с моим счетом):
1) Тут фейл. Для восстановление доступа необходимо получать SMS на телефон (у всех аккаунтов он разный). Код телефона +(380) - и снова Укрина.
Скрилл написал мне следующее:
Данный ip из Подольска. Тут для доступа к моему аккаунту однозначно использовался прокси, чтобы он не был моментально заблокирован (перед Skrill-ом мошенник не палился так, как перед Яндекс почтой).
Я скинул подозреваемый ip в Skrill, они сказали, что по нему у них нет активности.
Думаю, выйти на мошенника практически нереально, зато я приобрел однозначную уверенность, что этот человек не из моего близкого окружения.