По следам преступлений. Кто и как должен помочь следствию?

BIS Journal №1(52)2024

9 апреля, 2024

По следам преступлений. Кто и как должен помочь следствию?

Существует множество способов отъёма денег у честных граждан. Банковские безопасники привычно называют их мошенничеством, коллеги из правоохранительных структур — кражами. А как правильно? Вопрос не праздный, поскольку и то и другое — это разные статьи Уголовного кодекса со всеми вытекающими последствиями. Но прежде чем классифицировать преступление, преступника надо поймать. И тут очень многое зависит от поведения жертвы.  

На первый взгляд, схема действий пострадавшего проста: звонить в банк, блокировать карту, сообщать о несогласии с проведёнными операциями, и сразу в полицию — писать заявление в отношении неустановленных лиц. 

И всё же, чтобы дела открывались и расследовались быстрее, пока ещё след не простыл, потерпевшему надо максимально сохранить, «закрепить» и предъявить улики. Попробуем разобраться, что в таких ситуациях является существенным и как граждане должны поступать, чтобы помочь следствию.

 

Этапы атаки

Рассмотрим классические «технические» схемы интернет-мошенничеств, при которых злоумышленники, используя вредоносное ПО, получают либо удалённый доступ к компьютеру жертвы и проводят мошеннические операции непосредственно с её компьютера, либо, используя удалённый токен, проводят операции со своего компьютера. В таких схемах могут быть особенности, например, деньги сначала переводятся на транзитный счёт, а с него уже на мошеннический. Транзитный счёт может быть непричастным к преступлению, но всё же скомпрометированным. 

Разобьём «техническую» схему на этапы.

 

Этап 1. Разведка

«Охотники» начинают поиск жертвы. В простом варианте они покупают в даркнете информацию о скомпрометированных учётных записях клиентов, данные бот-сетей, в более продвинутом — собирают открытую информацию в интернете. 

Этап 2. Предварительные «танцы»

Получив установочные данные для атаки, «охотник» ищет доступ к компьютеру жертвы. Инструменты этого этапа очень разные, не будем на них останавливаться, нам важен результат: на компьютере жертвы устанавливается вредоносное ПО, позволяющее видеть всё, что происходит на ПК, и совершать в нём противоправные действия. 

Этап 3. Собственно атака

Злоумышленник каким-либо техническим или иным способом получает доступ к компьютеру и личным данным, включая пинна токен с электронной подписью. Затем либо устанавливает «надзор» за движением денежных средств через счёт жертвы, либо формирует ложное платёжное поручение, либо вносит изменения в реквизиты уже сформированного, но не отправленного, либо блокирует проведение важных платежей, вносит изменения в личном кабинете плательщика и т. д. и т. п. В такой ситуации все электронные сообщения злоумышленника в банке воспринимаются как отправленные самим клиентом, так как формально выполняются все признаки перевода от имени клиента: есть легитимная ЭП, IP-адрес отправителя, Fingerprint компьютера и т. д. 

Этап 4. Завершение атаки на клиента

Основная цель этого этапа — скрыть следы деятельности на компьютере жертвы и оттянуть время обнаружения преступления.

 

Что должен сделать клиент в первую очередь

На каждом этапе злоумышленники оставляют цифровые следы на компьютере клиента: изменения в реестре, данные системных логов, данные логов приложений, изменения в программах, данных… То есть все те следы, которые могут помочь восстановить картину произошедшего. И надо помнить, что некоторые из этих следов по разным причинам сравнительно быстро исчезают. 

В таких условиях самым важным действием для жертвы становится отключение питания компьютера, при котором сохраняется дамп на момент отключения. Обычно современные накопители, особенно SSD, легко переносят такое издевательство. Операция не гарантирует сохранности системы и приложений, нормальной работы компьютера после включения и также не гарантирует 100% сохранения цифровых следов, однако с высокой долей вероятности эта процедура позволит максимально их сохранить. При этом важно помнить, что непосредственное исследование самого накопителя обязательно приведёт к потере или части следов, или их всех. Поэтому самостоятельное исследование крайне не рекомендуется. В специальных лабораториях в таких случаях делают побитные копии накопителя, которые затем и подвергают исследованиям без риска потерять первичную информацию. 

Ещё один нюанс: при снятии накопителя с компьютера необходимо обеспечить целостность накопителя и отсутствие постороннего доступа, а также зафиксировать время снятия. 

Соблюдение этих нехитрых правил поведения при выявлении признаков несанкционированного доступа к компьютеру или данным на нём поможет сохранить важнейшую улику при выявлении и задержании злоумышленника. А триггером поимки преступника станет скорейшее обращение в банк для блокировки дальнейших платежей и возврата денежных средств, переведённых без согласия клиента, и написание заявления в полицию о совершённом преступлении. 

 

Куда обращаться потерпевшему

В общем случае необходимо немедленно обратиться:

  • в службу технической поддержки банка или платёжной системы, осуществляющей переводы денежных средств, чтобы заблокировать счёт;
  • в полицию по месту проживания;
  • получить консультацию можно по телефону горячей линии 8 800 222 74 47 или на сайте Министерства внутренних дел РФ;
  • в Роскомнадзор, осуществляющий контроль за деятельностью организаций по оказанию услуг в области электронных технологий.

Если есть контакты, надо обратиться в территориальное отделение специализированного подразделения МВД. Правонарушениями в сфере компьютерной информации занимается специализированное подразделение МВД России — управление «К». 

При обращении в полицию с заявлением необходимо сообщать как можно более полную информацию о злоумышленниках, в частности, их адрес сайта, расчётный счёт, адрес электронной почты, номера телефонов, электронных кошельков и т. д. И вот здесь очень пригодится накопитель, снятый с компьютера. 

Заявление пишется, как правило, по установленной форме. Из документов для написания заявления требуется лишь паспорт гражданина РФ. По правилам коллеги из МВД в течение 3 рабочих дней должны принять соответствующее решение. Понятно, что чем быстрее начнётся производство, тем больше шансов поймать злоумышленников. 

Их действия могут квалифицироваться Уголовным кодексом либо как кража (ст. 158 УК РФ), либо как мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путём ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей по п. 1 ст. 159.6 УК РФ. Что именно можно указать в самом заявлении, надо уточнять в полиции. 

 

Дополнительные следы

Не стоит забывать, что кроме вышеназванных есть ещё следы, которые помогут найти «охотников». Они появляются там, где злоумышленники будут пытаться вывести похищенные деньги, — в банкоматах, интернет-магазинах, мобильных приложениях при переводе в крипту... Поиск и фиксация этих следов — это уже домашнее задание для соответствующих подразделений Банка России, банков, платёжных систем, операторов платёжных систем, т. е. всех тех организаций, через которые бегают электроны, перенося информацию о переводах денежных средств. Эта сфера должна регулироваться и координироваться совместно Банком России и МВД. 

Жизнь такую задачу поставила. Что дальше?

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.09.2024
Невский экспресс. Питерские чиновники спускаются ниже радаров с помощью московского ПО
13.09.2024
Кибермошенники делают всё больше работы за жертву
13.09.2024
Fortinet не стала платить взломщику
13.09.2024
Moscow Forensics Day 2024 — кратко
13.09.2024
Инфляционное давление поднимается
12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco
12.09.2024
Мошенники пугают отельеров понижением социального рейтинга
12.09.2024
Банк России готовится к массовому использованию цифрового рубля
12.09.2024
Остерегайтесь синдрома «мы всегда так делали». Как повысить эффективность SOC и избежать выгорания команды

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных